跨站脚本攻击及防范技术研究

跨站脚本攻击是当前Web安全领域常用攻击手段。该文介绍了跨站脚本攻击的基本概念,揭示了跨站脚本漏洞的严重性,分析跨站脚本漏洞的触发机制,论述了两种常见跨站脚本攻击模式,展示了几种跨站脚本攻击效果。最后,分别从Web应用程序编写和客户端用户两个层次,对跨站脚本攻击的防范措施进行了阐述。     

基于平台的XSS攻击缓解技术

研究人员和行业专家指出,跨站点脚本(XSS)是Web应用程序中最受黑客欢迎的漏洞之一.跨站点脚本已成为许多网站和Web应用程序的常见漏洞.XSS利用输入验证缺陷,目的是注入恶意代码,随后在受害者的Web浏览器中执行其脚本代码.网络应用程序的跨站点脚本攻击次数近年来有了快速的增长.这要求在服务器端有效的方法来保护应用程序的用户,因为漏洞的原因主要在于服务器端.根据最终用户使用的应用程序平台、中间件技术和浏览器等参数,在服务器端展示跨站点脚本(XSS)的两种缓解技术的性能比较.     

浅析跨站脚本的攻击与防御

跨站脚本攻击是目前Web安全中最为常用攻击手段之一,跨站脚本漏洞发生在程序直接把用户的数据发送到网络浏览器的时候,由于没有确认和编译这些内容,从而在浏览器中执行恶意的脚本.黑客还把跨站脚本与别的网络攻击相结合,造成更大的危害.通过对跨站脚本攻击原理的分析,给出了一些防御方法.     

Web跨站脚本漏洞检测工具的设计与实现

分析跨站脚本漏洞的形成原因,提出从攻击作用位置角度对跨站脚本漏洞进行分类的方法,在此基础上完善跨站脚本漏洞检测模型,实现动态的漏洞检测工具,弥补现有工具的缺陷,检测结果更为完整。实验证明,该工具能有效检测Web应用程序中的跨站脚本漏洞,较同类工具更具优越性。     

Web实时会话劫持攻击与防范研究

web2．0的发展不断引发脚本安全问题,由跨站漏洞导致的Web实时会话劫持是跨站脚本攻击的一种技术应用。分析了基于跨站漏洞的Web实时会话劫持的技术原理,依据其技术特点和技术应用环境,提出了狭义攻击生命期和广义攻击生命期的概念,从HTML语言特性、网页结构特性和Web服务业务设计的角度分析了攻击生命期的时间线模型、页面结构模型和业务逻辑模型,指出了Web实时会话劫持攻击在社会工程学应用和漏洞点挖掘方面独具的特征,最后有针对性地提出了建立账户信息安全分级机制和客户端异常行为监测机制两项综合防范措施。     

浅议跨站脚本攻击的检测与防护

随着互联网技术的迅猛发展,跨站脚本攻击逐渐成为威胁网站安全的重要攻击手段之一.阐述了跨站脚本攻击的原理,详细介绍了跨站脚本漏洞的检测方法与用例,并总结了防止跨站脚本攻击的防护方法与措施.     

基于跨站脚本的网络漏洞攻击与防范

目前很多的Web应用程序为了提高用户体验都包含大量动态内容,从而给Web应用程序带来了安全隐患。而跨站脚本攻击（XSS）是目前安全漏洞中排在前列并引起广泛注意的安全隐患之一。本文主要分析跨站脚本攻击漏洞存在形式和攻击产成流程,并总结出XSS攻击的防范方法。     

针对基于编码的跨站脚本攻击分析及防范方法

随着Web应用的快速发展,跨站脚本攻击事件迅猛增加,其攻击技术也在不断更新变化,出现一些特殊的高级攻击方法,其中基于编码的跨站脚本攻击就是其中之一.本文针对二进制和N元字母表两种常见的基于编码的跨站脚本攻击进行了深入分析,在已有客户端跨站脚本攻击检测技术的基础上,给出了一种动态访问控制的防范方法,弥补了现有针对此类攻击的防范方案缺乏实用性的不足,并通过实验验证了此方法的有效性和实用性.     

基于行为语义分析的Web恶意代码检测机制研究

在Web安全问题的研究中,如何提高Web恶意代码的检测效率一直是Web恶意代码检测方法研究中需要解决的问题。为此,针对跨站脚本漏洞、ActiveX控件漏洞和Web Shellcode方面的检测,提出一种基于行为语义分析的Web恶意代码检测机制。通过对上述漏洞的行为和语义进行分析,提取行为特征,构建Web客户端脚本解析引擎和Web Shellcode检测引擎,实现对跨站脚本漏洞、ActiveX控件漏洞和Web Shellcode等的正确检测,以及对Web Shellcode攻击行为进行取证的功能。实验分析结果表明,新的Web恶意代码检测机制具有检测能力强、漏检率低的性能。     

Web漏洞检测与防御策略研究

Web漏洞是程序员在开发应用程序时,没有考虑到的安全缺陷或不足。随着网络大众化和Web技术的飞速发展,在线购物、网上银行、网络办公等形式应用遍布我们的生活,同时Web安全风险达到前所未有的高度。其中,跨站脚本漏洞数量最为庞大、形态各异且威胁性极强,位列漏洞排行榜第三位。跨站脚本漏洞一旦被攻击,可泄露用户隐私,回话被监听等各种严重后果。本文通过对当前主要漏洞的分析和规整,依据攻击原理,提出相应的防御措施和建议。     

跨站脚本漏洞的白盒测试框架的设计和实现

伴随着B/S架构的流行和Web2.0时代的迅速发展,由于对不可信用户数据缺乏正确的校验机制,造成跨站脚本漏洞广泛地存在于各类网站中,并严重威胁用户安全。其主要原因在于服务端代码和客户端脚本的混合,使得当前技术无法准确而有效地生成攻击向量,探测跨站脚本漏洞。本文基于静态数据流特征分析,依据脚本注入位置和攻击向量模式设计了新的分析模糊器,通过采用字符串约束求解技术来验证攻击向量的有效性,并实现了白盒测试框架的原型系统XSS-Explore。实验结果表明,与同类工具相比,该系统能够较全面而准确地检测跨站脚本漏洞。     

防范XSS攻击的研究综述

跨站脚本(XSS)漏洞是近年来报道最多的一种Web应用程序安全漏洞.目前对其防范研究工作还比较少.本文主要针对防范XSS攻击的研究工作进行综述,包括分析和比较目前各种防范XSS攻击的措施,并指出各种防范措施的优缺点,最后提出一种防范XSS攻击的架构.     

一种基于支持向量机的跨站脚本漏洞检测技术

跨站脚本是一种常见的针对Web应用程序安全的漏洞攻击方式。恶意用户利用漏洞将恶意脚本注入网页之中,当用户浏览该网页时,便会触发脚本,导致攻击行为产生。为此,针对各种变形跨站脚本攻击难以检测问题,对一种基于正则表达式和支持向量机的递归特征消去算法（RE-SVM-RFE）进行了研究。首先采用正则表达式匹配算法,为训练集选择有代表性的特征,即对数据预处理;再利用RE-SVM-RFE特征选择算法选择出最优特征,再对具有攻击性的关键词进行特征排序;最后通过总结特征关键字的出现频率,发现频率越高漏洞存在可能性越大。实验结果表明,数据经过RE-SVM-RFE递归特征消去算法选择之后的SVM特征,预测的准确率更高,敏感度和特异度也更好,该算法能够有效地检测出跨站脚本漏洞。     

基于PHP安全漏洞的Web攻击防范研究

文章以PHP语言为例对跨站脚本漏洞、文件上传漏洞的常见攻击进行了较为详细的分析并给出了相应的防范措施,以此为基础,总结出了Web应用程序安全漏洞产生的一般原因和开发安全Web应用的一些建议。     

跨站脚本蠕虫的技术与研究

跨站脚本攻击（XSS）是目前安全漏洞中最为常用的攻击手段之一。介绍了跨站脚本漏洞及其基本原理和攻击方式;设计了一个跨站脚本蠕虫,并对其进行分析;给出了一个XSS的实例及其攻击破坏的过程。对研究XSS起到一定的启示作用。     

一种基于网络爬虫的跨站脚本漏洞检测方法

跨站脚本(Cross Site Scripting,简称XSS)是Web应用程序中常见的一种安全漏洞,它允许恶意的Web用户将代码植入到提供给其他用户使用的页面中,从而进行XSS攻击。在分析XSS存在形式、攻击过程和攻击原理的基础上,提出了一种基于网络爬虫的XSS漏洞检测方法,通过实验验证了其有效性。     

CSRF攻击的原理解析与对策研究

跨站点请求伪造（CSRF）是一种广泛存在但是一直没有被网站开发人员和管理人员重视的网站漏洞．因此被称为”沉睡的巨人”。相比目前已经被广泛重视和研究的跨站脚本漏洞（XSS）,它更加难以防范。该文分析了现有的Web安全缺陷,深入阐述了跨站点请求伪造漏洞产生的原理,并与跨站脚本漏洞进行了对比。在服务器端和客户端分别提出针对此漏洞的应对策略。     

跨站脚本攻击的研究与防范

随着网络安全问题越来越突出,利用XSS(跨站脚本攻击)进行网络攻击的现象越来越多.通过对XSS漏洞,介绍了XSS脚本攻击的类型,分别在利用HttpOnly和完善的输入与输出检查,两个方面论述了一些相应防范方法.