Cross-Site Scripting Attacks and Defensive Techniques: A Comprehensive Survey*

The advancement of technology and the digitization of organizational functions and services have propelled the world into a new era of computing capability and sophistication. The proliferation and usability of such complex technological services raise several security concerns. One of the most critical concerns is cross-site scripting (XSS) attacks. This paper has concentrated on revealing and comprehensively analyzing XSS injection attacks, detection, and prevention concisely and accurately. I have done a thorough study and reviewed several research papers and publications with a specific focus on the researchers’ defensive techniques for preventing XSS attacks and subdivided them into five categories: machine learning techniques, server-side techniques, client-side techniques, proxy-based techniques, and combined approaches. The majority of existing cutting-edge XSS defensive approaches carefully analyzed in this paper offer protection against the traditional XSS attacks, such as stored and reflected XSS. There is currently no reliable solution to provide adequate protection against the newly discovered XSS attack known as DOM-based and mutation-based XSS attacks. After reading all of the proposed models and identifying their drawbacks, I recommend a combination of static, dynamic, and code auditing in conjunction with secure coding and continuous user awareness campaigns about XSS emerging attacks.

An Intelligent Web Pre-fetching Based on Hidden Markov Model

Web pre-fetching is one of the most popular strategies, which are proposed for reducing the perceived access delay and improving the service quality of web server. In this paper, we present a pre-fetching model based an the hidden Markov model, which mines the later information requirement concepts that the user's access path contains and makes semantic-based pre-fetching decisions. Experimental results show that our schcme has better predictive pre-fetching precision.

LDAP Injection Techniques

The increase in the number of databases accessed only by some applications has made code injection attacks an important threat to almost any current system. If one of these applications accepts inputs from a client and executes these inputs without first validating them, the attackers are free to execute their own queries and therefore, to extract, modify or delete the content of the database associated to the application. In this paper a deep analysis of the LDAP injection techniques is presented. Furthermore, a clear distinction between classic and blind injection techniques is made.

基于组件的WebGIS关键技术研究

通过对目前流行的组件技术和WebGIS实现技术进行分析,详细阐述了实现基于组件的WebGIS的关键技术和相关问题.最后本文从实践的角度在GeoBeans的基础上用VC++ATL库设计了一个三层结构的WebGIS实例进行了验证,并对该系统的运行效果进行了分析,且提出了一些有益的建议.

基于Petri网的Web服务组合与分析

Web服务为互联网提供了一种新的应用环境。然而,Web服务还有许多需要进一步研究的问题。Web服务的组合及其验证就是需要深入研究的问题。本文针对通用构件描述语言(UCDL)提出一种Petri网模拟和验证方法,即对于Web服务的元活动和构件,提出相应的Petri网模型和建模方法。在此基础上进一步研究了Web服务系统Petri网的语言表达式生成算法,从而为Web服务系统的验证分析提供了有效工具。

SVG——一种支持可缩放矢量图形的Web浏览语言规范

该文介绍并探讨了在目前国际上一种最新的基于 Web浏览的图象图形规范 ,并从技术的角度分析了该规范的特点及其优点 。

基于Web的水电站大坝巡检系统设计与开发

针对目前水电站大坝巡检系统存在的问题,对巡检对象作了详细剖析后进行了科学、合理的划分,并提出了可扩展的数据库构建模型,开发了基于Web的水电站大坝巡检系统。实践表明,该系统可有效提高工作效率。

基于Web的温室作物模拟系统的实现

基于W eb技术、OOP(面向对象设计)思想,根据作物生长发育模型特点,提出了计算机模拟系统的结构设计方案,并采用ASP.NET技术规范和V isual C#程序语言,初步实现了一个基于W eb技术远程调用的温室作物生长发育计算机模拟系统,该系统目前可对番茄和黄瓜等温室作物光合作用、干物质积累与分配等过程进行模拟与分析。

废旧棉/纳米纤维素自增强复合纸的制备与性能

针对机械开松回收后产生的废旧棉短纤维存在力学性能差且难以再利用的问题,将部分回收的废旧棉短纤维在2,2,6,6-四甲基哌啶-1-氧自由基(TEMPO)/NaBr/NaClO体系中氧化,制备成纳米纤维素(CNF),然后将不同质量分数的CNF悬浮液和回收的废旧棉短纤维充分混合制备全纤维素纸浆,最后通过湿法成网和热压技术形成全纤维素纤维自增强复合纸(CCP),并探究其形貌、力学性能以及增强机制。结果表明:当CNF质量分数增加至5%时,CCP中的氢键含量增加,CNF和棉短纤维之间形成了广泛的氢键交联,促成CCP形成了致密的结构,其拉伸断裂强度达到84.72 MPa。此外,采用不脱色废旧棉短纤维制备的CCP可加工为包装纸袋使用。

基于Web的水电站中长期优化调度系统

介绍了一种运用Internet技术和数据库技术、基于Web的水电站中长期预测调度系统,该系统采用数据库、服务器、浏览器3层结构模式。论述了该系统的开发目标、结构功能、关键技术和标准化设计,提出了系统设计中遇到的关键问题及其解决途径和方法。采用Web Service技术和ASP.NET开发工具,开发出了先进、实用、可靠、界面友好和移植性强的应用软件。在多个水电站运行情况表明,系统运行稳定,效果良好。

一种基于Web技术的简易PACS系统的构建与研究

在PC客户机嵌入Applet Viewer Java程序,通过网络浏览器访问Web服务器,并通过Web服务器查询和提取存储在DICOM服务器中的医学图像,实现图像浏览、查询及远程诊断。

基于Web技术的嵌入式智能家居系统设计

根据人们对智能家居的需求,提出了一种嵌入式智能家居控制系统的解决方案。系统采用S3C6410微处理器和嵌入式Linux操作系统作为软硬件平台,通过构建Web服务器实现对家居设备工作状态的记录和控制,Web客户端利用浏览器即可登录到服务器的监控界面,完成用户认证、门窗控制、照明控制、湿度控制和视频监控等功能。通过对系统进行性能测试,结果表明,系统运行稳定,实时性好,性价比高,具有一定的实用价值。

Web应用安全风险防护分析与防护研究

分析了当前Web应用所面临的安全性问题以及重要性,同时分析了Web应用安全特性,给出了十大安全风险的描述并针对每一个安全风险给出了切实有效的防范措施与解决方案,包括注入式攻击、跨站点脚本攻击、错误的认证和会话管理、不安全的直接对象引用、跨站点伪造请求、不安全的配置管理、不安全的密码存储器、无法限制URL访问、薄弱的传输层保护、未验证的网址重定向.针对当前的各种Web应用安全的问题,给出了常见的安全技术及其描述.

Web环境下采用图形编程接口(GDI+)实现工程图形的发布

如何快速、有效地实现工程图形在Web上的发布是当前研究的热点技术之一。结合当前网页制作的新型技术XML和ASP.NET,提出把需要发布的DXF图形转换成利于数据处理的XML文件,将XML文件作为图形文件的数据载体,再通过DataSet对象把XML文件中相应的数据取出,采用GDI+编程实现工程图形在Web上的发布。

改进蚁群算法在基于服务质量的Web服务组合优化中的应用

为了克服基础蚁群算法存在的前期搜索速度较慢、后期极易陷入局部最优解的缺点,提出初始信息素分布策略和局部优化策略;同时还提出了依赖解的质量的信息素更新依据,以增强算法过程中信息素的有效积累。将该改进蚁群算法应用于基于服务质量(Qo S)的Web服务组合优化问题中,通过在数据集QWS2.0上的实验对改进蚁群算法的可用性和有效性进行了验证。结果表明改进的蚁群算法与基础蚁群算法、利用解与理想解距离更新信息素的改进蚁群算法以及用支配程度作为解的个体评价的改进遗传算法相比,能够找到更多的非劣解,寻优能力更优,表现出了较稳定的性能。

基于Web森林病虫害防治决策专家系统研究

基于Web的森林病虫害防治决策专家系统将人工智能技术、GIS技术、数据库技术和网络技术有机地结合起来,可以对森林病虫害进行预测预报和防治决策。系统采用三层的B/S结构和选择符合J2EE标准的开发平台,构建了专家系统的知识库、推理机、事实库和解释器等主要模块。最终,实现了对森林病虫害的发生期、发生量、危害趋势、灾害发生区域的预测预报和防治决策等功能。同时,系统利用了GIS技术可以通过WebGIS地图将发生灾害的区域信息直观、全面地显示给用户。

基于UG的Web三维零件库系统开发

综合应用.NET平台下的UG二次开发技术、AJAX异步通信技术和Web3D互联网三维图形技术,针对机电典型行业中标准化、系列化的零件三维图形,开发了基于UG的面向机电典型行业的Web三维零件库系统。系统采用B/S模式,在网络环境下实现了零件三维模型在线无刷新浏览、零件在线参数化、站内搜索、零件下载、零件资源动态扩充和管理等功能。论述了系统的总体设计方案、关键技术理论、功能模块及实现方法,并给出了Web三维零件库系统的实现案例。

基于Web环境的科研管理信息系统的设计与实现

以贵州大学科技网站的设计与建立为蓝本 ,详细介绍了基于Web环境的科研管理信息系统的设计与实现技术、WEB网页与数据库的动态链接和静态链接技术 ,以及Ja vaApplet、JavaScript、VBScript、ActiveX、ASP、Flash等技术在WEB网页中的应用。

基于Web GIS优化技术的评估研究

地理信息系统需要大容量数据的支撑,而大规模的地理空间数据给地理信息系统的处理带来了巨大挑战;为了提高网络地理信息系统的处理性能,必然要运用各种优化技术加快对数据的处理和迁移;对主要的地理信息系统优化技术进行了分析,并建立实验系统选用数据容量不同的两组数据分别测试了数据简化、数据压缩、相对坐标等优化技术对系统总体性能造成的影响;实验结果表明不同的数据容量下,不同的优化技术对系统性能的提高起到了不同的作用,并且要根据应用需求确定数据的优化精度。

基于Web GIS技术的病险水库灾情动态评估系统架构

针对病险水库大坝失事这一涉及社会公众安全的突发事件,借鉴国外的洪灾评估技术,结合我国水库大坝管理现状,构建了基于W eb G IS技术的病险水库灾情动态评估系统架构.并研究了数据库的建立、灾前预测评估、灾中实时评估和灾后反馈评估的4个阶段.