期刊文献+
共找到8篇文章
< 1 >
每页显示 20 50 100
基于模糊测试和遗传算法的XSS漏洞挖掘 被引量:8
1
作者 程诚 周彦晖 《计算机科学》 CSCD 北大核心 2016年第S1期328-331 364,364,共5页
为解决Web应用跨站脚本(XSS)问题,在研究当前各种XSS漏洞挖掘方法的基础上,通过对XSS漏洞特征、网站过滤方式、变形优化方法进行分析,提出了一种基于模糊测试和遗传算法的XSS攻击样本优化生成方法,以有效挖掘漏洞。该方法在构建XSS漏洞... 为解决Web应用跨站脚本(XSS)问题,在研究当前各种XSS漏洞挖掘方法的基础上,通过对XSS漏洞特征、网站过滤方式、变形优化方法进行分析,提出了一种基于模糊测试和遗传算法的XSS攻击样本优化生成方法,以有效挖掘漏洞。该方法在构建XSS漏洞库的基础上,采用模糊测试方法随机预生成大量XSS攻击用例,采取过滤补全原则进行XSS攻击特征分析、选择与提取,利用遗传算法搜索XSS攻击特征空间,通过多次反复迭代生成最优的XSS攻击特征测试用例。分析表明,该方法能有效地发现Web应用中的XSS漏洞。 展开更多
关键词 xss漏洞 模糊测试 遗传算法 过滤补全原则 最优攻击特征
下载PDF
基于动态污点传播模型的DOM XSS漏洞检测 被引量:5
2
作者 贾文超 汪永益 +1 位作者 施凡 常超 《计算机应用研究》 CSCD 北大核心 2014年第7期2119-2122,2126,共5页
由于存在恶意代码不回显等特点,DOM XSS漏洞(DOM型跨站脚本漏洞)隐蔽性较强,利用传统的特征匹配的方法无法检测。分析DOM XSS漏洞的形成原理,提出一种基于动态污点传播模型的DOM XSS漏洞检测算法,重点研究污点引入和污点检查,利用混合... 由于存在恶意代码不回显等特点,DOM XSS漏洞(DOM型跨站脚本漏洞)隐蔽性较强,利用传统的特征匹配的方法无法检测。分析DOM XSS漏洞的形成原理,提出一种基于动态污点传播模型的DOM XSS漏洞检测算法,重点研究污点引入和污点检查,利用混合驱动爬虫实现自动化检测,采用函数劫持等方法检测污点数据的执行,并设计实现了原型系统DOM-XSScaner。在实验环境中与现有工具进行对比实验,实验数据显示原型系统提高了检测未过滤DOM XSS漏洞的准确率、召回率和效率,证明提出的算法能对DOM XSS漏洞进行有效检测。 展开更多
关键词 DOM xss 动态污点传播 混合驱动爬虫 函数劫持 包过滤
下载PDF
Web前端XSS过滤技术研究 被引量:3
3
作者 高岩 胡勇 《通信技术》 2017年第3期539-544,共6页
为了应对利用web应用漏洞发起的XSS攻击,提出建立web前端白名单的恶意代码检测技术。在客户端接收服务端发送的非渲染文件数据后,通过web前端搭建的一个基于DOM树的防御平台,对这个非渲染文件做过滤处理,将处理过的文件碎片在浏览器上渲... 为了应对利用web应用漏洞发起的XSS攻击,提出建立web前端白名单的恶意代码检测技术。在客户端接收服务端发送的非渲染文件数据后,通过web前端搭建的一个基于DOM树的防御平台,对这个非渲染文件做过滤处理,将处理过的文件碎片在浏览器上渲染,导致XSS恶意代码无法执行。技术采用Javascript语言编写,可适用于当前各大主流浏览器。实验结果与分析表明,该系统可成功过滤掉输入代码中的恶意代码,并且保留代码中的非恶意部分,提高了阻止XSS攻击的有效性。 展开更多
关键词 xss攻击 web前端 白名单过滤 JAVASCRIPT
下载PDF
反XSS绕过过滤规则设计与研究
4
作者 王万兵 叶水生 肖璐 《计算机与数字工程》 2018年第4期788-792,共5页
XSS(Cross Site Scripting)攻击是目前最流行的WEB攻击方式之一,随着对XSS攻击的防护提升,XSS攻击的变种也逐渐增多,最终目的为绕过防护系统进行攻击。针对上述问题,制定新的过滤规则,并基于过滤规则建立XSS过滤模型,规则的制定是基于... XSS(Cross Site Scripting)攻击是目前最流行的WEB攻击方式之一,随着对XSS攻击的防护提升,XSS攻击的变种也逐渐增多,最终目的为绕过防护系统进行攻击。针对上述问题,制定新的过滤规则,并基于过滤规则建立XSS过滤模型,规则的制定是基于可控的XSS敏感字符库来实现的。反绕过的最终实现形式为XSS过滤模型的建立,将该过滤模型集成到WEB项目中,对可能出现漏检或绕过的字符进行收集并列入敏感字符库中,应对XSS绕过攻击。实验表明,该过滤模型能够有效地应对XSS绕过攻击,并降低系统安全维护难度,同时能够有效应对未知的XSS攻击。 展开更多
关键词 xss跨站脚本攻击 xss绕过攻击 xss敏感字符库 xss过滤模型
下载PDF
面向规则缺陷的浏览器XSS过滤器测试方法
5
作者 桂智杰 舒辉 《网络与信息安全学报》 2018年第11期69-77,共9页
为了缓解跨站脚本(XSS,cross-sitescripting)攻击,现代浏览器使用XSS过滤器进行防御,现有方法很难有效对浏览器XSS过滤器的安全性进行测试与评估。规则缺陷是浏览器XSS过滤器实现过程中的缺陷和安全问题。面向浏览器XSS过滤器规则缺陷,... 为了缓解跨站脚本(XSS,cross-sitescripting)攻击,现代浏览器使用XSS过滤器进行防御,现有方法很难有效对浏览器XSS过滤器的安全性进行测试与评估。规则缺陷是浏览器XSS过滤器实现过程中的缺陷和安全问题。面向浏览器XSS过滤器规则缺陷,给出其形式化定义,设计测试样例和场景生成算法。为了定量测试与评估不同浏览器XSS过滤器的过滤水平,结合过滤成功率、误报率、输入损耗计算过滤能力。基于所提方法,设计原型系统对几种主流浏览器XSS过滤器进行自动化测试,得到了不同浏览器的XSS过滤能力。经过实际测试,该系统具备发现未公开漏洞的能力。 展开更多
关键词 跨站脚本攻击 浏览器xss过滤器 规则缺陷 过滤能力
下载PDF
基于RASP的SQL注入和XSS攻击的检测技术 被引量:2
6
作者 沈伍强 张小陆 +1 位作者 杨春松 许明杰 《信息技术》 2022年第10期91-96,共6页
针对电力信息系统面对SQL注入和XSS攻击时检测效率低、防御效果不佳等问题,提出一种基于RASP技术的SQL注入和XSS漏洞检测与防御技术,直接将数据库函数、校验函数等通过RASP探针注入Web服务应用内部进行有效监测;针对攻击和程序交互较少... 针对电力信息系统面对SQL注入和XSS攻击时检测效率低、防御效果不佳等问题,提出一种基于RASP技术的SQL注入和XSS漏洞检测与防御技术,直接将数据库函数、校验函数等通过RASP探针注入Web服务应用内部进行有效监测;针对攻击和程序交互较少的情况,基于KMP算法和过滤机制将输入字符串与注入字符串的存储模式匹配,对恶意攻击代码进行检测与防御。实验结果表明,提出的方法可以有效对SQL注入和XSS攻击进行检测和防御,且效率较高。 展开更多
关键词 RASP KMP算法 过滤机制 SQL注入 xss攻击
下载PDF
关于跨站脚本问题的研究 被引量:3
7
作者 王辉 陈晓平 林邓伟 《计算机工程与设计》 CSCD 2004年第8期1317-1319,共3页
现在的网站包含有若干动态内容,方便了用户的操作,但是动态网站有一个危险,叫做“Cross Site Scripting”(跨站脚本),而静态网站没有。当前有一些关于跨站脚本漏洞的信息资料,但能真正给用户和管理者解释清楚的并不多。现就这一问题进... 现在的网站包含有若干动态内容,方便了用户的操作,但是动态网站有一个危险,叫做“Cross Site Scripting”(跨站脚本),而静态网站没有。当前有一些关于跨站脚本漏洞的信息资料,但能真正给用户和管理者解释清楚的并不多。现就这一问题进行整理说明,给出这种隐藏危险的一个清楚的了解,并给出一些经验以便如何去发现和阻止它。 展开更多
关键词 脚本漏洞 动态网站 隐藏 用户 操作 静态 信息资料 管理者 问题 经验
下载PDF
浏览器WEB安全威胁检测技术研究与实现 被引量:2
8
作者 江导 《网络安全技术与应用》 2014年第2期100-101,共2页
WEB浏览器是一种常见的客户端应用程序,是用户与网络交互的最主要平台之一,WEB应用已经广泛应用到新闻资讯、电子商务、社交网络等多个领域,然而由于WEB应用程序功能性和交互性的不断增强,对应的WEB漏洞和恶意攻击层出不穷,现有的WEB安... WEB浏览器是一种常见的客户端应用程序,是用户与网络交互的最主要平台之一,WEB应用已经广泛应用到新闻资讯、电子商务、社交网络等多个领域,然而由于WEB应用程序功能性和交互性的不断增强,对应的WEB漏洞和恶意攻击层出不穷,现有的WEB安全措施主要集中于服务端,然而客户端的安全机制相对比较薄弱,因此,对于如何保证WEB应用的安全己成为安全界广泛关注的重点。本文主要研究浏览器端的WEB安全威胁检测技术与实现。 展开更多
关键词 浏览器 WEB安全 安全威胁检测技术 同源策略 xss过滤器
原文传递
上一页 1 下一页 到第
使用帮助 返回顶部