Web实时会话劫持攻击与防范研究

web2．0的发展不断引发脚本安全问题,由跨站漏洞导致的Web实时会话劫持是跨站脚本攻击的一种技术应用。分析了基于跨站漏洞的Web实时会话劫持的技术原理,依据其技术特点和技术应用环境,提出了狭义攻击生命期和广义攻击生命期的概念,从HTML语言特性、网页结构特性和Web服务业务设计的角度分析了攻击生命期的时间线模型、页面结构模型和业务逻辑模型,指出了Web实时会话劫持攻击在社会工程学应用和漏洞点挖掘方面独具的特征,最后有针对性地提出了建立账户信息安全分级机制和客户端异常行为监测机制两项综合防范措施。     

同源信用引用协议研究

针对Web访问中的安全问题，提出一种阻止跨站脚本攻击和跨站式请求伪造的同源信用引用(SOCA)协议，以Web站点的信 用度为指标，防止从跨域名网站引入恶意资源，从而加强外部引用资源的交流约束。实验结果表明，SOCA协议具有安全性和兼容性。     

跨站脚本漏洞的白盒测试框架的设计和实现

伴随着B/S架构的流行和Web2.0时代的迅速发展,由于对不可信用户数据缺乏正确的校验机制,造成跨站脚本漏洞广泛地存在于各类网站中,并严重威胁用户安全。其主要原因在于服务端代码和客户端脚本的混合,使得当前技术无法准确而有效地生成攻击向量,探测跨站脚本漏洞。本文基于静态数据流特征分析,依据脚本注入位置和攻击向量模式设计了新的分析模糊器,通过采用字符串约束求解技术来验证攻击向量的有效性,并实现了白盒测试框架的原型系统XSS-Explore。实验结果表明,与同类工具相比,该系统能够较全面而准确地检测跨站脚本漏洞。     

中小型网站智能安全检测研究

随着互联网的发展及经济利益的驱动,黑客已将攻击重点转到web应用服务器上,由此危害了服务器安全及客户端安全。针对这一现状,文章首先采用广度优先算法实现网络爬虫来获取目标网站的架构信息;然后用网页动态参数判定、网站架构分析、信息智能识别等技术对网站安全进行辅助检测,用正则表达式过滤非法跨站请求,实现跨站脚本攻击检测;最后,用正则表达式和Python强大的库资源编程实现了应用安全的实时检测和评估功能。实验表明：该系统在一定程度上减少了Web恶意攻击行为所带来的损失,提高了应对网页信息安全突发事件的响应速度。     

一种基于支持向量机的跨站脚本漏洞检测技术

跨站脚本是一种常见的针对Web应用程序安全的漏洞攻击方式。恶意用户利用漏洞将恶意脚本注入网页之中,当用户浏览该网页时,便会触发脚本,导致攻击行为产生。为此,针对各种变形跨站脚本攻击难以检测问题,对一种基于正则表达式和支持向量机的递归特征消去算法（RE-SVM-RFE）进行了研究。首先采用正则表达式匹配算法,为训练集选择有代表性的特征,即对数据预处理;再利用RE-SVM-RFE特征选择算法选择出最优特征,再对具有攻击性的关键词进行特征排序;最后通过总结特征关键字的出现频率,发现频率越高漏洞存在可能性越大。实验结果表明,数据经过RE-SVM-RFE递归特征消去算法选择之后的SVM特征,预测的准确率更高,敏感度和特异度也更好,该算法能够有效地检测出跨站脚本漏洞。     

Evolution of cross site request forgery attacks

This paper presents a state of the art of cross-site request forgery (CSRF) attacks and new techniques which can be used by potential intruders to make them more effective. Several attack scenarios on widely used web applications are discussed, and a vulnerability which affect most recent browsers is explained. This vulnerability makes it possible to perform effective CSRF attacks using the XMLHTTPRequest object. In addition, this paper describes a new technique that preserves the malicious code on the target system even after the browser window is closed. Lastly, best solutions to prevent these attacks are discussed to enable everyone (users, browser or Web applications developers, professionals in charge of IT security in an organization or a company) to prevent or manage this threat.     

运用Antlrworks和Mxgraph分析JavaScript的方法

JavaScript是网页设计中常见的一种客户端编程语言。有效检测通过JavaScript脚本传播的网页木马、病毒等,是在网页安全中时常讨论的一个话题。对网页脚本进行分析,了解其执行流程,是恶意代码检测的前期所需工作。经实践,运用Antlrworks工具可用来分析JavaScript脚本的词法和语法,而利用Mxgraph则可用于显示解析出的程序基本块图结构。     

利用客户端脚本实现复合查询的新思路

本文主要针对目前网站上常用的查询系统所存在的某些常见问题而提出了一种新的查询设计思路,这种新的设计思路主要是在客户端利用JavaScript脚本语言对用户设置的查询条件进行预处理,让用户设置的条件以两种形式出现在系统中,一种形式方便方便用户阅读和理解,另一种形式用于真正的数据查询;此外,通过脚本语言将用户设置的查询条件保存于页面上列表中,用户可以随意组合现有的条件形成更为复杂的查询条件;同时用户也可以在列表中随意选择某个条件执行数据查询。     

基于WEB的教师个人网站的研究

近年来,随着计算机科学的发展,数据库技术在Internet中的应用越来越广泛,各类网站的应用为知识、信息交流提供了更加周到和人性化的服务。实用性已逐渐成为当今Web应用的潮流。以ASP为开发技术,以VBScript、JavaScript为服务器端脚本语言,以ASP作为客户端脚本语言,实现了一个简单网上教师和学生的交流系统。设计过程中采用了AJAX,web2.0,div+css等设计元素,网站设计尽可能的在用户体验度上有所突破。     

基于行为语义分析的Web恶意代码检测机制研究

在Web安全问题的研究中,如何提高Web恶意代码的检测效率一直是Web恶意代码检测方法研究中需要解决的问题。为此,针对跨站脚本漏洞、ActiveX控件漏洞和Web Shellcode方面的检测,提出一种基于行为语义分析的Web恶意代码检测机制。通过对上述漏洞的行为和语义进行分析,提取行为特征,构建Web客户端脚本解析引擎和Web Shellcode检测引擎,实现对跨站脚本漏洞、ActiveX控件漏洞和Web Shellcode等的正确检测,以及对Web Shellcode攻击行为进行取证的功能。实验分析结果表明,新的Web恶意代码检测机制具有检测能力强、漏检率低的性能。