基于静态分析和动态检测的xss漏洞发现

Web应用程序数量多、应用广泛,然而它们却存在各种能被利用的安全漏洞,这当中跨站脚本(XSS)的比例 是最大的。因此为了更好地检测Web应用中的XSS漏洞,提出了一种结合污染传播模型的代码静态分析及净化单元 动态检测的方法,其中包括XSS漏洞所对应的源规则、净化规则和接收规则的定义及净化单元动态检测算法的描述。 分析表明,该方法能有效地发现W cb应用中的XSS漏洞。     

基于规则库和网络爬虫的漏洞检测技术研究与实现

Web技术是采用HTTP或HTTPS协议对外提供服务的应用程序,Web应用也逐渐成为软件开发的主流之一,但Web应用中存在的各种安全漏洞也逐渐暴露出来,如SQL注入、XSS漏洞,给人们带来巨大的经济损失.为解决Web网站安全问题,文章通过对Web常用漏洞如SQL注入和XSS的研究,提出了一种新的漏洞检测方法,一种基于漏洞规则库、使用网络爬虫检测SQL注入和XSS的技术.网络爬虫使用HTTP协议和URL链接来遍历获取网页信息,通过得到的网页链接,并逐步读取漏洞规则库里的规则,构造成可检测出漏洞的链接形式,自动对得到的网页链接发起GET请求以及POST请求,这个过程一直重复,直到规则库里的漏洞库全部读取构造完毕,然后继续使用网络爬虫和正则表达式获取网页信息,重复上述过程,这样便实现了检测SQL注入和XSS漏洞的目的.此方法丰富了Web漏洞检测的手段,增加了被检测网页的数量,同时涵盖了HTTP GET和HTTP POST两种请求方式,最后通过实验验证了利用此技术对Web网站进行安全检测的可行性,能够准确检测网站是否含有SQL注入和XSS漏洞.     

Aspect-oriented Programming for Dynamic Web Service Selection,Integration and Management

In service-oriented computing, applications are often created by integrating third-party Web Services. Current integration approaches, however, require client applications to hardcode references to specific Web Services, thereby affecting adaptability and robustness. Moreover, support for client-side management is rarely provided. To enable the development of more flexible and robust applications, we propose to insert a new layer between the client applications and the Web Services: the Web Services Management Layer (WSML). This layer decouples Web Services from client applications and enables hot-swapping between semantically equivalent Web Services based on availability. This mechanism allows for dynamic switching between Web Services based on selection policies that encapsulate changing business requirements. In addition, with WSML, client-side management concerns (e.g., caching, billing and logging) can be decoupled from the applications. In this paper, we identify a list of requirements for WSML to realize dynamic integration and client-side service management, and provide support for service criteria to govern the selection, integration and composition of Web Services. We also show that dynamic Aspect-Oriented Programming (AOP) is well suited to implement the core functionality of WSML.     

基于细胞膜模型的Web Service事务管理

随着大量传统应用程序向Web Service的转变,多个Web Service的组合应用成为Web Service发展的趋势.提出了Web Service事务的一套管理模型,该模型是受到生物学里细胞膜模型的启发,根据细胞膜模型与Web Service事务管理的相似性而得出的.在此基础上,给出了一个简单的应用实例.最后对其发展的方向提出了自己的一些看法.     

利用J2EE实现Web Services模型与应用

WebServices是一种新颖的系统应用开发与集成技术并得到了越来越多的企业以及开发人员的青睐。该文简要阐述了WebServices的基本概念、模型以及在企业信息系统中的应用模型与实现,并以实例详细论述了WebServices系统的建立、设置与相关程序的编制。     

A Formal Framework for Web Services Coordination

Recently the term Web Services Choreography has been introduced to address some issues related to Web Services Composition and Coordination. Several proposals for describing Choreography for Business Processes have been presented in the last years and many of these languages (e.g. BPEL4WS) make use of concepts as long-running transactions and compensations for coping with error handling. However, the complexity of BPEL4WS makes it difficult to formally define this framework, thus limiting the formal reasoning about the designed applications. In this paper, we formally address Web Services Coordination with particular attention to Web transactions. We enhance our past work - the Event Calculus - introducing two main novelties: i) a multicast event notification mechanism, and ii) event scope names binding. The former enables an easier specification of complex coordination scenarios — such as E-commerce applications require — while the latter allows many new interesting behaviors which can be very useful in business scenarios: the introduction of private event scope names — used to deal with security and privacy — and a dynamic event scopes definition that can be used to manage multiple instances of the same application.     

基于Web Services架构的CSCW应用研究

WebServices技术给CSCW提供了一个新的实现平台。论文分析了当前几项CSCW应用主流实现技术的局限性,指出了基于WebServices实现CSCW应用的理由,研究了WebServices在CSCW系统中的应用模式,并着重讨论了消息同步问题的解决方法,提出了系统的体系结构,最后给出了一个基于WebServices的协同图形编辑器的实例。     

基于Stacking融合模型的Web攻击检测方法

随着计算机技术与互联网技术的飞速发展,Web应用在人们的生产与生活中扮演着越来越重要的角色。但是在人们的日常生活与工作中带来了更多便捷的同时,却也带来了严重的安全隐患。在开发Web应用的过程中,大量不规范的新技术应用引入了很多的网站漏洞。攻击者可以利用Web应用开发过程中的漏洞发起攻击,当Web应用受到攻击时会造成严重的数据泄露和财产损失等安全问题,因此Web安全问题一直受到学术界和工业界的关注。超文本传输协议(HTTP)是一种在Web应用中广泛使用的应用层协议。随着HTTP协议的大量使用,在HTTP请求数据中包含了大量的实际入侵,针对HTTP请求数据进行Web攻击检测的研究也开始逐渐被研究人员所重视。本文提出了一种基于Stacking融合模型的Web攻击检测方法,针对每一条文本格式的HTTP请求数据,首先进行格式化处理得到既定的格式,结合使用Word2Vec方法和TextCNN模型将其转换成向量化表示形式;然后利用Stacking模型融合方法,将不同的子模型(使用配置不同尺寸过滤器的Text-CNN模型搭配不同的检测算法)进行融合搭建出Web攻击检测模型,与融合之前单独的子模型相比在准确率、召回率、F1值上都有所提升。本文所提出的Web攻击检测模型在公开数据集和真实环境数据上都取得了更加稳定的检测性能。     

基于改进模糊测试的Web应用漏洞挖掘方法

为解决Web模糊测试挖掘漏洞速度较慢、发现漏洞数较少的问题,提出一种改进的Web模糊测试向量生成方法。在通用的Web应用模糊测试结构（Web Fuzzing）基础上,分析现有测试向量生成方法,引入遗传算法来改进Web模糊测试向量生成方法。基于该方法实现XSS模糊测试工具,使用该工具对2个Web应用系统进行测试,将结果与现有模糊测试工具测试结果对比,验证了使用该方法挖掘Web漏洞速度快,发现漏洞数更多,提高了漏洞挖掘效率。     

基于Web Services的MIS开发方式研究

探讨了传统MIS开发和维护问题、Web Services及其应用,将Web Services思想引入MIS开发方式中,建立了基于Web Services的MIS开发方式模型,通过构建基于Web Services思想的MIS开发平台并对一个简单的MIS进行测试开发,证实了Web Services解决MIS开发和维护问题的可行性。研究表明,Web Services思想是解决传统MIS开发和维护问题的一种较好的方法。     

Enlargement of vulnerable web applications for testing

There are two main kinds of vulnerable web applications, usual applications developed with a specific aim and applications which are vulnerable by design. On one hand, the usual applications are those that are used everywhere and on a daily basis, and where vulnerabilities are detected, and often mended, such as online banking systems, newspaper sites, or any other Web site. On the other hand, vulnerable by design web applications are developed for proper evaluation of web vulnerability scanners and for training in detecting web vulnerabilities. The main drawback of vulnerable by design web applications is that they used to include just a short set of well-known types of vulnerabilities, usually from famous classifications like the OWASP Top Ten. They do not include most of the types of web vulnerabilities. In this paper, an analysis and assessment of vulnerable web applications is conducted in order to select the applications that include the larger set of types of vulnerabilities. Then those applications are enlarged with more types of web vulnerabilities that vulnerable web applications do not include. Lastly, the new vulnerable web applications have been analyzed to check whether web vulnerability scanners are able to detect the new added vulnerabilities, those vulnerabilities that vulnerable by design web applications do not include. The results show that the tools are not very successful in detecting those vulnerabilities, less than well-known vulnerabilities.     

Web服务架构

分析了Web 服务技术架构。Web 服务的主要目标就是在现有的各种异构平台的基础上构筑一个通用的与平台无关、语言无关的技术层, 各种不同平台之上的应用依靠这个技术层来实施彼此的连接和集成。提出可以将Web 服务架构划分为概念层、逻辑层和物理层三个层次的模型, 并分别讨论了模型的具体内容。分析了Web 服务架构的优点以及还需要解决的一些问题。     

电子商务领域本体下的Web服务自动组合实现

随着Web服务应用的不断发展,如何根据服务需求进行Web服务的动态组合,已经是一个急需解决的问题。本文利用电子商务领域本体建立了Web服务本体模型,提出了基于语义的Web服务动态组合体系结构和解决方法。架构包括服务描述模块、需求解析模块和服务组合模块。最后,给出了该模型在一个购物系统中的实现。     

基于权限验证图的Web应用访问控制漏洞检测

针对Web应用中的访问控制漏洞缺乏有效检测手段的问题，提出了一种基于权限验证图的检测算法。首先，在程序控制流图（CFG）的基础上，识别权限验证节点和资源节点，通过T和F边将节点连成权限验证图。然后，遍历资源节点对应的所有权限验证路径，计算路径验证权限，与资源节点访问权限比较，检测是否存在访问控制漏洞。实验结果表明，在7个Web应用中，发现了8个已知和未知漏洞，相比较于已有的访问控制漏洞检测算法，该算法可以有效检测4种访问控制漏洞，扩大了漏洞检测范围。     

Web Services互操作性研究

异构Web Services间的无缝互操作是成功构建基于Web Services应用的关键之一.讨论了Web Services互操作性概要和Web Services基本交互模式,详细分析了Web Services互操作原理和Web Services描述;说明了Web Services的类型定义中的类型不匹配、不可用类型、精度和值/引用类型等问题对互操作性的影响,并给出了处理方案;同时还分析了在Web Services的调用过程中采用的SOAP编码和消息模式、Web Services约束等问题.最后针对当前应用较广泛J2EE和.NET的两个平台的Web Services的互操作设计作了简要设计.     

一种支持可信Web服务的应用框架

Web服务技术给开发基于Web的应用带来了新的机遇和效益，但系统安全性却不利于其应用性。本文通过扩展Web服务安全规范实现了一种支持可信服务的机制．提出了电子商务和电子政务中Web服务安全性的实际解决方案。     

WebService Behavior技术及其应用研究

WebService Behavior是一种新的Web Services访问技术.在分析Web Services技术的基础上,从配属WebService Behavior、定位Web Services、Behavior对Web Services方法的调用及返回结果处理等方面深入研究了WebService Behavior调用原理.讨论了WebService Behavior技术在Web页面数据动态刷新、Web页面动画制作等方面的应用.     

基于Web Services的电子口岸信息系统的集成研究

Web Services是一种面向服务的体系结构，其突出优点是实现了真正意义上的平台独立性和语言独立性。本文系统地分析了Web Services的体系结构和各项关键技术后，提出了以Web Services信息总线为基础的电子口岸信息系统集成方案，并对工作原理进行了研究。该方案可以方便地用于各种已有的口岸异构系统以及新开发的Web Services应用的集成。     

基于Web Services的高考服务系统的设计和开发

Web Services是一种构建应用程序的应用实体,形成特定条件下的API;同时也是一个可互操作的分布式应用程序平台,并能在所有支持HTTP协议操作系统上实施运行。在网络中服务方提供了一个Web Services平台,该平台不仅提供相关的网络服务,而且会提供一种标准来描述它的服务;而客户可以在网络中其它任何一点调用该服务,并且可以得到足够的信息来得知如何调用。本文设计并开发一款基于Web Services技术的高考服务系统,即在移动终端开发客户端系统,并通过Web Services获取服务器提供的各种信息。在系统中采用多种算法完成模拟志愿填报、高校查询、学习计划等多种模块,并提供高考动态、工具娱乐、心理辅导等多种工具模块,能够帮助考生在高考过程中得到更好的发挥。     

Web 2.0 Injection Infection Vulnerability Class

ABSTRACT

Web 2.0 defines a changing trend in the use of World Wide Web application development and web design technology. Web 2.0 design concepts have led to the evolution of a web culture that has allowed social-networking and ease of design use of non-secure component applications to enter the business domain of the enterprise. These Web 2.0 component applications are then commingled with other business legacy applications including databases. This article focuses on the taxonomy of the injection infection class of vulnerabilities associated with Web 2.0 application security issues.