共查询到20条相似文献,搜索用时 31 毫秒
1.
2.
Web项目中的SQL注入问题研究与防范方法 总被引:5,自引:1,他引:4
基于B/S模式的网络服务构架技术的应用被普遍采用,许多该类型的应用程序在设计与开发时没有充分考虑到数据合法性校验问题,因此使其在应用中存在安全隐患.在横向比较SQL注入攻击模式的基础之上,分析了SQL注入攻击的特点、原理,并对常用注入途径进行了总结.提出在主动式防范模型的基础上,使用输入验证,sQLserver防御以及使用存储过程替代参数化查询相结合的形式构建出一种有效防范SQL注入攻击的思路和方法.测试结果表明该防范模型具有较高的实用性和安全性. 相似文献
3.
陆培军 《计算机与信息技术》2009,(Z1)
XML技术被广泛使用,XML数据的安全性越来越重要。本文简要介绍了XPath注入攻击XML数据的原理。在前人提出的防御通用方法的基础上,提出一个XPath注入攻击通用检验模型,模型具有普遍意义。 相似文献
4.
为了有效地检测传感器网络中被注入的虚假数据,提出一种基于扩展卡尔曼滤波器(EKF)的虚假数据注入检测算法。首先通过监控邻近节点行为,使用EKF预测邻近节点未来状态;然后给出了使用不同的融合函数(平均、求和、最大、最小)时理论阈值的确定方法;最后为了克服本地检测机制的缺陷,将本地检测方法与系统监控模块有效配合,从而准确地区分出恶性事件和紧急事件。仿真实验结果表明,无论是在合成数据还是实时数据下进行测试,该算法都能为无线传感器网络进行安全的数据融合提供有效的入侵检测功能。 相似文献
5.
SQL注入漏洞是WEB应用程序中常见的高危漏洞,如何检测网站中存在的SQL注入漏洞是WEB安全的重要研究内容,目前的漏洞检测工具无法对需要登录的网站进行全面检测。本文对网络爬虫进行优化,结合selenium工具,实现SQL注入漏洞检测工具半自动的注册、登录和验证功能。通过使用构造的payload对注入点进行注入,根据返回数据判断该注入点是否存在SQL注入漏洞。最后经过对比试验数据证明,该方法在检测范围、漏洞检测数方面都有很大提高。 相似文献
6.
Ma Haizhou Zhang Zhigang 《数字社区&智能家居》2008,(Z1)
随着B/S模式应用开发的发展,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。本文从SQL注入的原理入手,对于使用Access和SQL Server数据库的ASP网站,在SQL注入的常用方法和解决办法方面进行了研究。 相似文献
7.
装备使用与保障数据是开展装备科学研究的重要依据,而由于管理不善、保密、样本过少等原因常常导致相关数据缺少应有的积累,无法满足实际研究的需要;为了克服这一困难,文章提出通过算法生成数据予以解决;首先根据数据的应用特性,将装备使用与保障数据看作简单数据、规律已知数据和规律未知数据三类,分别制定生成策略;对于简单数据和规律已知数据,通过已有的商用软件或简单的自定义方法生成;对于规律未知数据,采用模式注入或特性继承的方法生成;在某大型装备管理综合信息系统的设计开发中,对这些生成方法进行了工程实践,结果表明了方法的正确性和可行性。 相似文献
8.
9.
一种有效的Cisco IOS映像注入攻击分析方法 总被引:1,自引:0,他引:1
针对Cisco IOS映像注入攻击提出了一种基于虚拟化的恶意代码分析方法。通过虚拟化技术的研究, 设计实现了虚拟化分析平台CDAP(Cisco dynamic analysis platform), 为IOS系统提供了运行环境, 在此基础上, 采用指令信息截获与过滤技术、数据跟踪技术对注入到IOS映像中的恶意代码进行分析。使用该方法可对遭受IOS注入攻击的多型号多版本的Cisco IOS映像进行分析。实验结果证明了该方法的有效性。 相似文献
10.
分布式系统的可靠性和可用性至关重要.然而,不正确的失效恢复机制及其实现会引发失效恢复缺陷,威胁分布式系统的可靠性和可用性.只有发生在特定时机的节点失效才会触发失效恢复缺陷,因此,检测分布式系统中的失效恢复缺陷具有挑战性.提出了一种新方法 Deminer来自动检测分布式系统中的失效恢复缺陷.在大规模分布式系统中观察到,同一份数据(即共用数据)可能被一组I/O写操作存储到不同位置(如不同的存储路径或节点).而打断这样一组共用数据写操作执行的节点失效更容易触发失效恢复缺陷.因此, Deminer以共用数据的使用为指导,通过自动识别和注入这类容易引发故障的节点失效来检测失效恢复缺陷.首先, Deminer追踪目标系统的一次正确执行中关键数据的使用.然后, Deminer基于执行轨迹识别使用共用数据的I/O写操作对,并预测容易引发错误的节点失效注入点.最后, Deminer通过测试预测的节点失效注入点以及检查故障征兆来暴露和确认失效恢复缺陷.实现了Deminer原型工具,并在4个流行的开源分布式系统ZooKeeper、HBase、YARN和HDFS的最新版本上进行了验证.实验结果表明Demine... 相似文献
11.
为确保云平台内数据传输安全,提出一种基于多智能体遗传算法的云平台抗虚假数据注入攻击方法。采用开源平台OpenStack搭建云平台,并分析云平台虚假数据注入攻击过程;以该攻击过程为基础,结合Copula函数与GAN生成对抗网络构建虚假数据注入攻击检测框架,利用Copula GAN函数模型中的判别器与生成器对云平台原始量测数据进行对抗训练,再采用极端随机树分类器检测虚假数据,判断云平台中是否存在虚假数据注入攻击情况;利用三层攻防博弈模型防御云平台中的虚假数据注入攻击,同时由该模型为各条数据传输线路分配防御资源,并设置对应的约束条件;采用多智能体遗传算法对模型进行优化求解,完成云平台虚假数据注入攻击目标防御。实验结果表明,该方法可以精准检测云平台虚假数据并及时采取防御措施,具备较强的抗虚假数据注入攻击能力。 相似文献
12.
目的 行为识别中广泛使用的深度图序列存在着行为数据时空结构信息体现不足、易受深色物体等因素影响的缺点,点云数据可以提供丰富的空间信息与几何特征,弥补了深度图像的不足,但多数点云数据集规模较小且没有时序信息。为了提高时空结构信息的利用率,本文提出了结合坐标转换和时空信息注入的点云人体行为识别网络。方法 通过将深度图序列转换为三维点云序列,弥补了点云数据集规模较小的缺点,并加入帧的时序概念。本文网络由两个模块组成,即特征提取模块和时空信息注入模块。特征提取模块提取点云深层次的外观轮廓特征。时空信息注入模块为轮廓特征注入时序信息,并通过一组随机张量投影继续注入空间结构信息。最后,将不同层次的多个特征进行聚合,输入到分类器中进行分类。结果 在3个公共数据集上对本文方法进行了验证,提出的网络结构展现出了良好的性能。其中,在NTU RGB+d60数据集上的精度分别比PSTNet(point spatio-temporal network)和SequentialPointNet提升了1.3%和0.2%,在NTU RGB+d120数据集上的精度比PSTNet提升了1.9%。为了确保网络模型的鲁棒性,在MSR Action3D小数据集上进行实验对比,识别精度比SequentialPointNet提升了1.07%。结论 提出的网络在获取静态的点云外观轮廓特征的同时,融入了动态的时空信息,弥补了特征提取时下采样导致的时空损失。 相似文献
13.
主要介绍了一种在电视上加载虚拟传感器设备驱动的方法, 将具有传感器功能的手机、PAD等智能终端作为电视传感器输入终端, 在智能电视上实现利用传感器控制应用和游戏的解决方案. 具体实现方法为在智能电视上加载各种传感器如重力加速度(G-sensors)、线性加速度、陀螺仪等的虚拟设备驱动, 并提供上层传感器数据注入方法和应用层传感器数据获取通用接口; 智能传感器输入终端通过wifi与智能电视建立网络连接, 获取智能终端的传感器实际数据, 并将数据发送到电视端; 电视端接收到数据并注入到指定传感器设备, 最终由系统上报提供到应用层, 使得各类普通的传感器类应用和游戏在电视上展现. 可解决现在智能电视上应用和游戏单一的局面, 实现应用和游戏控制与画面相分开, 以获得更好的视觉效果并很好的与他人分享. 相似文献
14.
15.
基于自适应Kalman滤波的智能电网假数据注入攻击检测EI北大核心CSCD 总被引:1,自引:0,他引:1
研究了一种针对智能电网中假数据注入攻击的有效检测方法.假数据注入攻击可以保持攻击前后残差基本不变,绕过传统的不良数据检测技术.首先基于电网模型,分析了假数据注入攻击的攻击特性,针对噪声统计特性未知且无迹Kalman滤波(Unscented Kalman filter,UKF)不稳定的现象,提出了自适应平方根无迹Kalman滤波改进算法.基于状态估计值,结合中心极限定理提出检测算法,并与欧几里得检测方法、巴氏系数检测方法进行比较.最后,仿真表明本文所提检测算法的优越性. 相似文献
16.
由于编程者对用户输入不作检查验证再加上Web应用程序存在漏洞,是导致SQL注入攻击的主要原因。文章着重讨论了SQL注入攻击的原理、特点和攻击方法,并结合ASP.NET特性从多个角度探讨了防止SQL注入攻击的安全措施。从而更好地维护网站数据的安全。 相似文献
17.
基于B/S模式的网络服务架构技术被普遍采用,许多Web应用程序没有完备的考虑安全性,给站点留下了安全隐患.SQL注入漏洞普及面广且不易检测,如果结合其他系统漏洞就会造成数据的泄露甚至服务器被控制.本文从应用服务器、数据服务器、功能代码三方面阐述了SQL注入攻击的特点、原理,并对常用注入攻击方式,防范方法进行了总结.最后提出一种记录用户IP,验证用户输入,控制用户的输入次数的综合方法来防范SQL注入攻击的模型.该模型在浏览器端设置一级检查,在服务器端设置二级检查,并记录攻击者IP,攻击次数过多的攻击者被禁止访问.测试结果表明该防范模型具有较高的实用性和安全性. 相似文献
18.
详细阐述了SQL注入攻击的原理和常见实施手段,认真分析并总结了现有常见防范方法的特点以及存在的不足之处,进一步提出了利用对用户输入数据进行Base64编码来防范SQL注入的新方法,并对该方法做了实验性的测试,得到了比较理想的结果。 相似文献
19.
隐私暴露、信息篡改、虚假数据注入都是无线传感器网络数据融合中面临的严峻挑战,在保护数据隐私性的同时进行完整性验证是数据融合技术研究的热点之一。提出了一种新的支持隐私保护的动态完整性验证算法PDI(Privacy-preserving Dynamic Integrity-verification algorithm),它可以在实现数据隐私保护的基础上侦测到信息被非法篡改。PDI算法使用数据扰动进行数据隐私保护,同时根据现有网络结构动态生成监测节点进行数据的完整性验证,融合过程中篡改过的虚假数据能够更快地被检测并丢弃。仿真实验结果显示,PDI算法可使用较少的通信量和计算量实现隐私保护和完整性验证。 相似文献