共查询到20条相似文献,搜索用时 15 毫秒
1.
2.
本文讨论了基于网站建设中网页设计的安全缺陷,指出服务器端动态网页技术本身存在安全缺陷。介绍了登录验证漏洞、绕过验证直接进入设计页面漏洞、桌面数据库被下载漏洞、源代码泄露漏洞和文件上传漏洞,给出了相应解决漏洞的方法。 相似文献
3.
4.
董明武 《网络安全技术与应用》2007,(7):9-10
一、安全漏洞的挑战漏洞是指计算机软件(包括硬件固化指令、操作系统、应用程序等)自身的固有缺陷或因使用不当造成的配置缺陷,这些缺陷可能被黑客利用对计算机系统进行入侵或攻击。漏洞分为本地漏洞和远程漏洞,通常意义上我们所指的漏洞是可被攻击者远程利用的漏洞,这些漏洞的危害往往都是大范围的,由此造成的经济损失也是巨大的,尤其是近两年来针对Web应用安全漏洞的攻击也在逐渐成为主流的攻击方式。 相似文献
5.
操作系统等系统软件中的安全漏洞本质上是一种没有满足软件安全性的缺陷.对安全漏洞的检测过程进行深入研究能够使安全测试人员合理分配测试资源,更准确地评估软件的安全性.深入分析了影响操作系统软件安全漏洞检测的因素,认为安全漏洞检测速度与软件的市场占有率、已发现漏洞数和未发现漏洞数成正比.在此基础上建立了基于市场占有率的漏洞检测模型.该模型表明:在软件发布之前只会暴露少量安全漏洞;某些安全漏洞最终不会被检测到.这两个结论已被实际的数据证实.最后用提出的模型分析了三种流行操作系统的漏洞检测数据集.与同类模型相比,模型具有更好的拟合能力与预测能力. 相似文献
6.
一种微观漏洞数量预测模型 总被引:2,自引:0,他引:2
全球每年因为软件漏洞造成的损失十分巨大,而软件漏洞分析方法的缺陷使得漏洞本身难以被发现,因此大家开始对漏洞数量进行预测,预测软件的漏洞数量对信息安全评估有着重要的意义.目前主要的估算方法是漏洞密度的方法,但此方法仅是宏观范围内估算,并不能反映漏洞软件本身的性质.提出从软件的微观角度进行软件漏洞数量的估算通过提取软件典型... 相似文献
7.
在软件开发及应用中,由于具有可复现性,模糊测试能够帮助发现漏洞和有针对性地对漏洞成因进行分析。为了解决模糊测试过程的效率及测试力度等问题,提出了软件漏洞模糊测试的关键分支探索及热点更新算法。该方法通过捕获、分析和利用受检程序在处理测试用例时的执行位置的关键信息,以指导模糊测试过程的探索方向和测试用例的生成。实验结果表明,提出的方法相较于传统随机发散的模糊测试方法在漏洞发现能力上有较大提升,在Otfcc、Swftools等14个开源程序中发现了100余个未被公布的漏洞,为模糊测试用于软件漏洞检测提供了新的可靠途径。 相似文献
8.
近年来,利用含有已知漏洞的函数作为准则,通过查找相似代码实现来检测未知漏洞的方法已被证明是有效的.但是,一个含有漏洞的函数通常也包含一些与已知漏洞无关的语句,严重影响相似度计算的结果,从而引发误报和漏报.提出了一种利用补丁来提高这种相似性检测准确性的漏洞发现方法.结合漏洞的补丁信息,引入程序切片技术去除原来含有漏洞的函数中与漏洞无关的语句,利用获得的切片生成去噪的漏洞特征来进行潜在未知漏洞检测.该方法已经在一些真实的代码集中实施,并且实验结果证明该方法确实能够有效减弱漏洞无关语句的干扰,达到提高检测准确性的目的.该方法还成功检测到了3个未知漏洞且已经得到确认. 相似文献
9.
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的弱点或缺陷,从而可以让攻击者能够在未授权的情况下访问或破坏系统.为了数据或者应用系统的安全,需要解决操作系统因漏洞可能引起的被攻击问题.解决漏洞安全问题最直接的方式就是给系统或者软件打上补丁,但是打补丁很有可能引起操作系统的故障甚至崩溃.本文阐述了打系统补丁引起的... 相似文献
10.
跨站点请求伪造(CSRF)是一种广泛存在但是一直没有被网站开发人员和管理人员重视的网站漏洞.因此被称为”沉睡的巨人”。相比目前已经被广泛重视和研究的跨站脚本漏洞(XSS),它更加难以防范。该文分析了现有的Web安全缺陷,深入阐述了跨站点请求伪造漏洞产生的原理,并与跨站脚本漏洞进行了对比。在服务器端和客户端分别提出针对此漏洞的应对策略。 相似文献
11.
随着Web应用的功能日趋复杂,其安全问题不容乐观, Web应用安全性测试成为软件测试领域的研究重点之一.漏洞报告旨在记录Web应用安全问题,辅助Web应用测试,提升其安全性与质量.然而,如何自动识别漏洞报告中的关键信息,复现漏洞,仍是当前的研究难点.为此,本文提出一种自动化的漏洞报告理解和漏洞复现方法,首先,依据漏洞报告的特点,归纳其语法依存模式,并结合依存句法分析技术,解析漏洞描述,提取漏洞触发的关键信息.其次,不同于常规自然语言描述, Web漏洞的攻击负载通常是非法字符串,大多以代码片段的形式存在,为此,本文针对攻击负载,设计提取规则,完善漏洞报告中攻击负载的提取.在此基础上,考虑漏洞报告与Web应用文本描述不同但语义相近,提出基于语义相似度的漏洞复现脚本自动生成方法,实现Web应用漏洞的自动复现.为验证本文方法的有效性,从漏洞收集平台Exploit-db的300余个Web应用项目中收集了400份漏洞报告,归纳出其语法依存模式;并针对23个开源Web应用涉及的26份真实漏洞报告进行漏洞复现实验,结果表明本文方法可有效提取漏洞报告的关键信息,并据此生成可行测试脚本,复现漏洞,有效减少... 相似文献
12.
如果你是计算机用户的话,一定对“漏洞”这个名词不会陌生。我们根据字面意思就可以很好地理解它的含义,计算机的设计人员在设计软件、硬件、网络的过程中,产品往往会出现各种各样的缺陷,这些缺陷就是人们常说的漏洞,也称之为BUG。就好像一个房子,门很结实,可是有个窗户却不好,这就很可能被坏人利用破窗而入。入侵也是相对的,必须有漏洞才可以入侵,当然并不是所有的漏洞都能用于入侵。所以漏洞也分为高危、普通、一般等多个级别。如何检测自己的系统有什么样的漏洞呢?微软公司推出了一款简称为MBSA的工具,就是针对Windows系统安全的检测工具,用户可以用来检测自己的系统有什么样的漏洞。 相似文献
13.
漏洞是指计算机软件(包括CMOS固化指令,操作系统、应用程序)自身的固有缺陷或因使用不当造成的配置缺陷,这些缺陷可能被黑客利用对计算机系统进行入侵或攻击。当前利用漏洞造成的最大危害来自于蠕虫的爆发。 相似文献
14.
15.
随着汽车智能化、网联化的发展,汽车中集成了越来越多的电子器件,数量庞大的硬件、固件和软件中隐藏着各种设计缺陷和漏洞,这从根本上导致了智能汽车信息安全问题.大量汽车漏洞的披露,严重影响了汽车安全,制约了智能汽车的广泛应用.漏洞管理是降低漏洞危害、改善汽车安全的有效手段.在漏洞管理流程中,漏洞评估是决定漏洞处置优先级的重要... 相似文献
16.
《电脑编程技巧与维护》2008,(14):4-4
作为季度关键补丁更新的一部分,甲骨文(Oracle)公司为其WebLogic Server修补了Apache插件程序里一个严重缺陷以及处理多于两打的其他产品漏洞。甲骨文(Oracle)说它的安全升级包含了36个补丁。 相似文献
17.
18.
基于深度学习的代码漏洞检测模型因其检测效率高和精度准的优势,逐步成为检测软件漏洞的重要方法,并在代码托管平台Github的代码审计服务中发挥重要作用.然而,深度神经网络已被证明容易受到对抗攻击的干扰,这导致基于深度学习的漏洞检测模型存在遭受攻击,降低检测准确率的风险.因此,构建针对漏洞检测模型的对抗攻击,不仅可以发掘此类模型的安全缺陷,而且有助于评估模型的鲁棒性,进而通过相应的方法提升模型性能.但现有的面向漏洞检测模型的对抗攻击方法,依赖于通用的代码转换工具,并未提出针对性的代码扰动操作和决策算法,因此难以生成有效的对抗样本,且对抗样本的合法性依赖于人工检查.针对上述问题,提出了一种面向漏洞检测模型的强化学习式对抗攻击方法.本方法首先设计了一系列语义约束且漏洞保留的代码扰动操作作为扰动集合;其次,将具备漏洞的代码样本作为输入,利用强化学习模型选取具体的扰动操作序列.最后,根据代码样本的语法树节点类型寻找扰动的潜在位置,进行代码转换,从而生成对抗样本.本文基于SARD和NVD构建了两个实验数据集共14,278个代码样本并以此训练了四个具备不同特点的漏洞检测模型作为攻击目标.针对每个目标模型,训练了一个强化学习网络进行对抗攻击.结果显示,本文的攻击方法导致模型的召回率降低了74.34%,攻击成功率达到96.71%,相较基线方法,攻击成功率平均提升了68.76%.实验证明了当前的漏洞检测模型存在被攻击的风险,需要进一步研究提升模型的鲁棒性. 相似文献
19.
20.