期刊文献+
共找到17篇文章
< 1 >
每页显示 20 50 100
跨站脚本漏洞渗透测试技术 被引量:5
1
作者 王丹 顾明昌 赵文兵 《哈尔滨工程大学学报》 EI CAS CSCD 北大核心 2017年第11期1769-1774,共6页
为提升跨站脚本(XSS)漏洞检测方法的检测效果,本文提出了基于隐马尔科夫模型(HMM)的攻击向量动态生成和优化方法。采用决策树模型和代码混淆策略对攻击向量进行分类和变形,获得测试用攻击向量。使用注入点去重处理和探子技术去除一部分... 为提升跨站脚本(XSS)漏洞检测方法的检测效果,本文提出了基于隐马尔科夫模型(HMM)的攻击向量动态生成和优化方法。采用决策树模型和代码混淆策略对攻击向量进行分类和变形,获得测试用攻击向量。使用注入点去重处理和探子技术去除一部分不存在XSS漏洞的Web页面,避免重复检测不同Web页面中相同的漏洞注入点,减少测试阶段与Web服务器的交互次数;进一步采用XPath路径定位技术提高漏洞检测结果分析的效率。对比实验结果表明,本文提出的方法降低了响应时间和漏报率,提高了检测效率。 展开更多
关键词 脚本漏洞 渗透测试 隐马尔科夫模型 攻击向量 注入点
下载PDF
Web-mail跨站漏洞检测技术研究 被引量:2
2
作者 Pradeep 方勇 《信息安全与通信保密》 2012年第2期60-62,66,共4页
Web程序通常在页面中嵌入使用JavaScrip脚本来实现检测动态客户端行为。这些脚本在用户浏览器的上下文中被执行。为了防范恶意的JavaScript脚本,浏览器可以使用一套沙盒机制,使脚本只能访问到自己所在网站域的资源。如果用户被诱骗至一... Web程序通常在页面中嵌入使用JavaScrip脚本来实现检测动态客户端行为。这些脚本在用户浏览器的上下文中被执行。为了防范恶意的JavaScript脚本,浏览器可以使用一套沙盒机制,使脚本只能访问到自己所在网站域的资源。如果用户被诱骗至一个中间的、受信任的网站,然后从该网站下载恶意脚本,那么此套安全机制就失效了。文章呈现了一套Web邮件跨站代码检测系统模型,该模型能满足高效率、优性能下的完整代码测试需求。根据设计需求,文章实现了Web邮件跨站脚本检测系统。最后,对系统的测试结果表明:系统具有一定的可行性与实用性。 展开更多
关键词 Web—mail 跨站漏洞 Vector脚本 HTML
原文传递
基于Web应用的跨站脚本漏洞分析 被引量:1
3
作者 虞菊花 乔虹 《网络安全和信息化》 2022年第6期118-121,共4页
基于Web应用系统的组成结构,探讨跨站脚本漏洞的产生和分类,研究不同类型跨站脚本攻击的工作原理,分析其具体的实现过程并进行对比,最后提出跨站脚本漏洞的不同防御方法,提高Web应用系统的安全性。
关键词 WEB应用系统 脚本漏洞 脚本攻击 防御方法 安全性
下载PDF
建行再爆跨站漏洞
4
作者 罗秉琨 《黑客防线》 2007年第11期27-28,共2页
前段时间建行爆出了一个可以跨站的漏洞,这不,最近建行就又爆出了一个跨站漏洞,给他们工作人员说了,想不到他们不理不睬,那就在这里和大家分享一下,也算督促建行及早补上这个漏洞。
关键词 跨站漏洞 建设银行 网上银行 分析 计算机网络安全
原文传递
致命的千博企业网站管理系统0day跨站漏洞
5
作者 爱无言 《黑客防线》 2010年第7期47-49,共3页
最近在测试一个网站的时候,发现该网站使用了千博企业网站管理系统的2010版本。随手在网上对该网站系统进行了查询,发现该网站系统的2010版本存在几个严重的注入漏洞,
关键词 千博 0day 跨站漏洞
原文传递
基于渗透测试的跨站脚本漏洞检测方法研究 被引量:5
6
作者 王强 蔡皖东 姚烨 《计算机技术与发展》 2013年第3期147-151,共5页
目前,跨站脚本漏洞已经成为互联网上最为严重的安全漏洞之一,文中针对跨站脚本漏洞的自动化检测问题,提出了一种基于渗透测试的检测方法。在向Web服务器提交攻击向量之前,对检测点使用合法输入进行探测,通过与Web服务器的一次交互可以... 目前,跨站脚本漏洞已经成为互联网上最为严重的安全漏洞之一,文中针对跨站脚本漏洞的自动化检测问题,提出了一种基于渗透测试的检测方法。在向Web服务器提交攻击向量之前,对检测点使用合法输入进行探测,通过与Web服务器的一次交互可以排除一部分不包含跨站脚本漏洞的检测点,从而大量减少在分析检测点阶段与Web服务器交互的次数。另外,通过对获取的检测点进行去重,可有效防止对不同页面中相同检测点的重复检测。实验结果表明,该方法可有效提高跨站脚本漏洞的检测效率。 展开更多
关键词 脚本漏洞 渗透测试 WEB安全 COOKIE
下载PDF
跨站脚本漏洞的白盒测试框架的设计和实现 被引量:4
7
作者 冯锴 林柏钢 《计算机工程与科学》 CSCD 北大核心 2011年第10期45-50,共6页
伴随着B/S架构的流行和Web2.0时代的迅速发展,由于对不可信用户数据缺乏正确的校验机制,造成跨站脚本漏洞广泛地存在于各类网站中,并严重威胁用户安全。其主要原因在于服务端代码和客户端脚本的混合,使得当前技术无法准确而有效地生成... 伴随着B/S架构的流行和Web2.0时代的迅速发展,由于对不可信用户数据缺乏正确的校验机制,造成跨站脚本漏洞广泛地存在于各类网站中,并严重威胁用户安全。其主要原因在于服务端代码和客户端脚本的混合,使得当前技术无法准确而有效地生成攻击向量,探测跨站脚本漏洞。本文基于静态数据流特征分析,依据脚本注入位置和攻击向量模式设计了新的分析模糊器,通过采用字符串约束求解技术来验证攻击向量的有效性,并实现了白盒测试框架的原型系统XSS-Explore。实验结果表明,与同类工具相比,该系统能够较全面而准确地检测跨站脚本漏洞。 展开更多
关键词 WEB安全 脚本漏洞 静态分析 模糊器 白盒测试
下载PDF
基于模糊测试的反射型跨站脚本漏洞检测 被引量:8
8
作者 倪萍 陈伟 《计算机应用》 CSCD 北大核心 2021年第9期2594-2601,共8页
针对目前现代万维网(WWW)应用程序中跨站脚本(XSS)漏洞检测技术存在的效率低,以及漏报率、误报率高等问题,提出了一个基于模糊测试的反射型XSS漏洞检测系统。首先,通过网络爬虫技术爬取整站指定深度的网页链接并对其进行分析,从而提取... 针对目前现代万维网(WWW)应用程序中跨站脚本(XSS)漏洞检测技术存在的效率低,以及漏报率、误报率高等问题,提出了一个基于模糊测试的反射型XSS漏洞检测系统。首先,通过网络爬虫技术爬取整站指定深度的网页链接并对其进行分析,从而提取出潜在的用户注入点;其次,根据攻击载荷的语法形式构造模糊测试用例,并为每个元素设置初始权重,依据注入探子向量来获取输出点类型,从而选择对应的攻击语法模式来构造较有潜力的攻击载荷,并对其进行变异操作以形成变异攻击载荷来作为请求参数;然后,对网站响应进行分析,并调整元素的权重,以便生成更加高效的攻击载荷;最后,将该系统与ZAP、Wapiti系统做横向对比。实验结果表明,所提系统能够发现的潜在用户注入点数提升了12.5%,漏洞误报率下降至0.37%,漏报率低于2.23%;同时减少了请求次数,节约了检测时间。 展开更多
关键词 脚本漏洞检测 爬虫 模糊测试 探子向量 攻击载荷 权重调整
下载PDF
跨站脚本漏洞的白盒测试框架的设计和实现 被引量:1
9
作者 闫飞 《电脑知识与技术》 2018年第8期242-243,共2页
目前,B/S架构与Web2.0时代实现了快速发展,因为缺乏对不可信用户数据的校验机制,导致跨站脚本漏洞屡见不鲜,活跃在各种网站,对用户安全造成了直接性威胁。这主要是由于服务端代码和客户端脚本之间出现融合,导致既有技术难以精确有效地... 目前,B/S架构与Web2.0时代实现了快速发展,因为缺乏对不可信用户数据的校验机制,导致跨站脚本漏洞屡见不鲜,活跃在各种网站,对用户安全造成了直接性威胁。这主要是由于服务端代码和客户端脚本之间出现融合,导致既有技术难以精确有效地生成攻击向量,以进行跨站脚本漏洞的探索工作。据此,本文主要对跨站脚本漏洞的白盒测试框架设计与实现进行了深入探究。 展开更多
关键词 脚本漏洞 白盒测试框架 设计 实现
下载PDF
网站漏洞扫描工具在网站安全整改中的运用 被引量:1
10
作者 龚海军 冯慧 《广播电视网络》 2021年第3期59-62,共4页
近年来,随着Web应用程序得到越来越广泛的应用,基于Web应用程序开发的视听节目网站作为广电行业一种重要的传播媒介,在传播大众信息方面发挥着重要作用。Web网站普遍具有开发周期短、维护成本低、移植性强等突出优点。基于这些优点,加... 近年来,随着Web应用程序得到越来越广泛的应用,基于Web应用程序开发的视听节目网站作为广电行业一种重要的传播媒介,在传播大众信息方面发挥着重要作用。Web网站普遍具有开发周期短、维护成本低、移植性强等突出优点。基于这些优点,加上整个互联网行业的快速发展,使得Web网站迅速成为应用范围最广的视听新媒体。但是,Web网站在给人们接收互联网信息带来很大方便的同时,也引起很多不怀好意的黑客的关注。一些重要的视听门户网站,经常被黑客肆意攻击,给网站带来巨大的安全隐患,对网络安全维护带来重大挑战,给视听门户网站传播党和政府的声音造成很大的负面影响。 展开更多
关键词 漏洞扫描 高危漏洞 Web 脚本漏洞 安全整改
下载PDF
一种XSS漏洞检测方法的设计与实现 被引量:7
11
作者 左丹丹 王丹 付利华 《计算机应用与软件》 CSCD 2016年第7期278-281,298,共5页
跨站脚本(XSS)漏洞是近年来较为流行的一种漏洞,随着Ajax技术的广泛应用,其危害性及快速的传播能力也越来越强。现有的漏洞检测技术没有充分对该类漏洞的漏洞注入点进行研究,使用的漏洞检测技术也没有充分考虑测试请求后响应的页面,导... 跨站脚本(XSS)漏洞是近年来较为流行的一种漏洞,随着Ajax技术的广泛应用,其危害性及快速的传播能力也越来越强。现有的漏洞检测技术没有充分对该类漏洞的漏洞注入点进行研究,使用的漏洞检测技术也没有充分考虑测试请求后响应的页面,导致漏洞检测率相对较低。针对现有漏洞检测技术的不足之处,加强对隐含页面的DOM结构分析,提出基于DOM状态改变的方式查找漏洞注入点的方法。在此基础上提出基于页面交互点相关的漏洞检测方法,设计并实现了漏洞检测原型系统。实验证明,该原型系统能够找到更多的漏洞注入点,能有效地提高漏洞检测率。 展开更多
关键词 脚本漏洞 漏洞注入点 隐含页面 漏洞检测
下载PDF
Web应用程序漏洞检测系统设计 被引量:5
12
作者 陈春玲 张凡 余瀚 《计算机技术与发展》 2017年第9期101-105,共5页
随着Web技术的普及,Web漏洞对网络安全的威胁越来越大。由于很多网站对用户的输入输出内容过滤不严,导致各大网站中普遍存在跨站脚本漏洞,而现有的Web漏洞检测方案及工具存在着效率低、漏检率高、误报率高等缺陷。为解决上述问题,设计... 随着Web技术的普及,Web漏洞对网络安全的威胁越来越大。由于很多网站对用户的输入输出内容过滤不严,导致各大网站中普遍存在跨站脚本漏洞,而现有的Web漏洞检测方案及工具存在着效率低、漏检率高、误报率高等缺陷。为解决上述问题,设计并实现了一种Web应用中的跨站脚本漏洞检测系统。该系统在现有Web漏洞检测工具的基础上,添加了模拟用户登陆功能和验证码识别功能,解决了检测期间需要输入验证码或用户登陆后才可向服务器提交数据的问题,并根据现有Web漏洞检测工具的不足,对系统的网络爬虫、漏洞检测模块进行改进,同时根据XSS Filter过滤规则,构造出更多能够绕过XSS Filter的测试用例。实验结果表明,所构建的系统具有低漏检率、低误报率和较高的效率。 展开更多
关键词 脚本漏洞 WEB应用 漏洞检测 网络爬虫
下载PDF
一种XSS漏洞检测系统分析与设计 被引量:2
13
作者 赵跃华 吴东耀 《软件导刊》 2019年第3期162-167,共6页
近年来跨站脚本(XSS)漏洞占据十大计算机网络安全漏洞第3名位置,对互联网安全形成严重威胁。目前大多数检测方案无法兼顾反射型、存储型和基于文档对象模型的XSS漏洞。为提高检测准确率,设计一种结合黑盒测试与动态污点分析技术的XSS漏... 近年来跨站脚本(XSS)漏洞占据十大计算机网络安全漏洞第3名位置,对互联网安全形成严重威胁。目前大多数检测方案无法兼顾反射型、存储型和基于文档对象模型的XSS漏洞。为提高检测准确率,设计一种结合黑盒测试与动态污点分析技术的XSS漏洞检测方案并优化XSS攻击向量选择策略。该策略首先筛选XSS攻击向量模版,检测时对应不同注入点实时生成不同XSS攻击向量,并根据过滤规则集测试结果进行反过滤变换。对比实验表明,该方案可以提高XSS漏洞检测能力,同时检测时间开销较小。 展开更多
关键词 脚本漏洞 漏洞检测 黑盒测试 动态污点分析技术
下载PDF
基于DOM状态转换检测XSS漏洞 被引量:2
14
作者 王丹 刘立家 +2 位作者 林九川 赵文兵 杜晓林 《北京工业大学学报》 CAS CSCD 北大核心 2018年第9期1208-1216,共9页
为提升跨站脚本(cross site scripting,XSS)漏洞检测中对隐藏注入点的扫描覆盖率,有效判定是否存在XSS漏洞攻击,提出构建Web应用文档对象模型(document object model,DOM)状态转换图搜索XSS漏洞注入点的方法.该方法以DOM状态为节点,以... 为提升跨站脚本(cross site scripting,XSS)漏洞检测中对隐藏注入点的扫描覆盖率,有效判定是否存在XSS漏洞攻击,提出构建Web应用文档对象模型(document object model,DOM)状态转换图搜索XSS漏洞注入点的方法.该方法以DOM状态为节点,以浏览器事件为边对Web应用建模,结合页面分析和代理技术来识别漏洞注入点,提高XSS漏洞注入点判定准确率.首先分析页面中带参数的统一资源定位符(uniform resource locator,URL)和Form表单,并尝试触发页面元素的浏览器事件来检测其是否含有数据请求,以判定Web页面是否有疑似漏洞注入点;进一步利用探子向量进行测试,并根据探子向量的输出位置,对注入点进行分类并保存.之后,基于变异操作和过滤逃逸技术对XSS过滤逃避欺骗备忘单进行转换来设计攻击向量,对已发现的漏洞注入点进行测试,并设计多种方法对不同响应结果进行分析.最后,通过实验对比,验证了其有效性. 展开更多
关键词 脚本(XSS)漏洞 文档对象模型(DOM) 状态转换图 爬虫 Selenium
下载PDF
面向web的安全信息搜集平台设计 被引量:3
15
作者 毕立恒 刘云潺 《信息技术与信息化》 2017年第7期19-22,共4页
本文分析并研究了web系统的基本安全信息搜集和漏洞信息搜集关键技术,设计并实现了一个高可用性、高扩展性的面向web系统的安全信息搜集平台。此平台可搜集web系统的全局安全信息,协助管理员评估网站安全风险。
关键词 信息搜集 过滤与反过滤 漏洞扫描 SQL注入 跨站漏洞
下载PDF
其他
16
《网管员世界》 2004年第11期96-96,共1页
关键词 防病毒软件 设备名处理漏洞 远程拒绝服务漏洞 本地权限提升漏洞 脚本代码执行漏洞
下载PDF
Wysi Wiki Wyg1.0系统安全性分析
17
作者 泉哥 《黑客防线》 2008年第12期30-32,共3页
Wysi Wiki Wyg 1.0是基于PHP语言编写的Wiki程序。最近这套系统爆出了几个漏洞,因为它未对用户通过在index.php文件中的“S”参数所提交的数据进行有效过滤.
关键词 脚本 Wysi WIKI Wyg 跨站漏洞 本地包含漏洞 系统安全性分析
原文传递
上一页 1 下一页 到第
使用帮助 返回顶部