通用Web漏洞库

本文研究了国内外Web漏洞库及建设的现状,设计并实现了一个专注于Web漏洞发布的Web漏洞数据库.文中兼顾了Web漏洞的固有特点及其与传统漏洞的属性差别,设计了Web漏洞库描述模型,丰富了Web漏洞的收集方法,定义了Web漏洞的漏洞评价属性标准,并在Web漏洞库中添加了Web漏洞重现模块.我们所设计的Web漏洞库确保了全面的Web漏洞信息收集和Web漏洞信息发布的标准化,可更好地对Web漏洞信息和数据进行分析研究,也为Web安全提供了有力的技术支撑.

一种基于web漏洞威胁模型的应用层异常检测方法研究

首先从入侵检测和异常检测的研究现状入手,介绍了WEB应用层存在的主要安全隐患,采用攻击图思想设计了web漏洞威胁模型,并给出了模型的参数量化方法,推导了模型参数估计与异常检测算法,并对web漏洞威胁模型的应用层异常检测方法进行了安全评估。

一种基于渗透性测试的Web漏洞扫描系统设计与实现

提出一种基于渗透性测试的Web漏洞扫描系统,给出了Web漏洞扫描系统的总体结构设计,研究了描述Web攻击行为所需要的特征信息及其分类,给出了Web攻击行为特征信息在数据库中的存储表结构。在Web攻击行为信息库中保存了超过230个不同的Web服务器信息,存在于Web服务器与CGI应用程序中的超过3 300个不同的已知漏洞信息,可以识别出绝大多数对未经修补或非安全Web服务器造成威胁的常见漏洞。

基于Python的Web漏洞扫描器

当下Web安全问题频发,很多Web网站代码设计时安全问题考虑不足,而市面上的漏洞扫描器存在扫描速度慢、软件臃肿、可扩展性不强等问题,我们基于Python设计了一个Web漏洞扫描器,在参考其他同类产品设计的基础上,采用注入分析、字典扫描等方法提高了扫描器性能,并增加了开放性的插件接口等一些实用且独特的功能。本文介绍了其工作原理,具体实现及实验测试。

基于Libra爬虫技术的Web漏洞检测方法研究

在互联网时代,Web服务涉及到用户生活、工作及学习等各个领域,如果不能够有效检测和修补漏洞,广大用户将面临多类潜在安全威胁。在讨论Libra爬虫技术优点的基础上,对如何运用该技术检测Web漏洞进行分析,结果表明:通过构建完善URL列表以及攻击向量生成库,爬取效率和准确率都可得到保障;Libra爬虫技术可以对Web操作行为进行动态抓取,从而改善漏洞检测效果。对改善Web漏洞修补效率、提升Web产品用户体验有一定参考价值。

基于可视化的Web漏洞分析

从基于可视化的角度详细分析Web漏洞,通过逻辑匹配、构造参数请求、执行结果、对比、报文交互记录等分析方法,再辅以可导出的场景文件,使得信息安全人员能够更及时、准确地掌握漏洞,从而提高信息安全人员解决Web漏洞的效率。

应用Fuzzing的Web漏洞检测与加固系统

目前,基于Web漏洞检测的各种手段和方法都有各自的优点和缺点。鉴于此,本文的设计基于Fuzzing技术,以爬虫引擎为主体,利用Spider获取被检测站点内的所有链接并根据特定条件筛选出可能存在问题的链接地址。爬行后获取到的链接会被送到各个检测模块进行扫描检测,分析确认是否存在相应的漏洞。区别于传统手工注入,本设计采用自动化技术对站点进行高覆盖率的模糊测试。

Web漏洞检测与防御策略研究

Web漏洞是程序员在开发应用程序时,没有考虑到的安全缺陷或不足。随着网络大众化和Web技术的飞速发展,在线购物、网上银行、网络办公等形式应用遍布我们的生活,同时Web安全风险达到前所未有的高度。其中,跨站脚本漏洞数量最为庞大、形态各异且威胁性极强,位列漏洞排行榜第三位。跨站脚本漏洞一旦被攻击,可泄露用户隐私,回话被监听等各种严重后果。本文通过对当前主要漏洞的分析和规整,依据攻击原理,提出相应的防御措施和建议。

常见高危Web漏洞原理及检测技术分析与研究

本文对Web漏洞的类型与原理、Web漏洞扫描技术的原理与应用进行了研究,分析了计算机网络中安全漏洞检测技术的应用策略。希望信息安全从业人员、开发人员在日常研究工作中能够提防这些漏洞,研究开发下一代新型漏洞检测技术,为网络安全提供保障。

云计算在Web漏洞检测中的应用

随着经济和科技的发展,计算机越来越深入到生产生活的各个方面,计算量也与日俱增,传统的单机运算模式已经不能满足现今越来越多的计算需求,通过采用云计算的方式可以很好地解决这一需求,云计算通过改变原来单一的计算机计算模式,通过网络将单一计算机富余的计算量进行利用,通过将需要计算的计算量分布式的分布到单一计算机中,这样每台计算机只需要计算一定数量的数据,大大提高了计算速度,随着计算速度的提升,能够更好地利用云计算技术来对Web漏洞进行检测,文章主要针对基于云计算的Web漏洞检测系统进行介绍。

云环境下Web漏洞检测平台关键技术的研究

针对目前Web安全检测系统的缺陷,结合云环境高效,高共享的特性,提出一个基于云环境的Web漏洞检测系统的设计方案。在方案中对有效URL地址的提取进行了改进,减少了重复提取的URL页面,同时也对动态页面的解析进行了处理,在任务的调配上提出了基于资源聚类的多Qos调度分配策略,缩小了资源调配的初始集合,通过原型模拟系统验证该方案的可行性和有效性。

Web漏洞及安全性探析

Web技术在网络上得到了广泛的推广应用,但也使Web网站时常受到各种非法入侵。论文针对Web应用攻击以及常见的漏洞进行了深入的分析,并介绍了查找和防范漏洞的快捷方法,对Web应用漏洞如何实现防御展开了探讨。

Web应用漏洞报告理解及漏洞复现

随着Web应用的功能日趋复杂,其安全问题不容乐观,Web应用安全性测试成为软件测试领域的研究重点之一.漏洞报告旨在记录Web应用安全问题,辅助Web应用测试,提升其安全性与质量.然而,如何自动识别漏洞报告中的关键信息,复现漏洞,仍是当前的研究难点.为此,本文提出一种自动化的漏洞报告理解和漏洞复现方法,首先,依据漏洞报告的特点,归纳其语法依存模式,并结合依存句法分析技术,解析漏洞描述,提取漏洞触发的关键信息.其次,不同于常规自然语言描述,Web漏洞的攻击负载通常是非法字符串,大多以代码片段的形式存在,为此,本文针对攻击负载,设计提取规则,完善漏洞报告中攻击负载的提取.在此基础上,考虑漏洞报告与Web应用文本描述不同但语义相近,提出基于语义相似度的漏洞复现脚本自动生成方法,实现Web应用漏洞的自动复现.为验证本文方法的有效性,从漏洞收集平台Exploit-db的300余个Web应用项目中收集了400份漏洞报告,归纳出其语法依存模式;并针对23个开源Web应用涉及的26份真实漏洞报告进行漏洞复现实验,结果表明本文方法可有效提取漏洞报告的关键信息,并据此生成可行测试脚本,复现漏洞,有效减少人工操作,提升漏洞复现效率.

基于PHP安全漏洞的Web攻击防范研究

文章以PHP语言为例对跨站脚本漏洞、文件上传漏洞的常见攻击进行了较为详细的分析并给出了相应的防范措施,以此为基础,总结出了Web应用程序安全漏洞产生的一般原因和开发安全Web应用的一些建议。

基于改进模糊测试的Web应用漏洞挖掘方法

为解决Web模糊测试挖掘漏洞速度较慢、发现漏洞数较少的问题,提出一种改进的Web模糊测试向量生成方法。在通用的Web应用模糊测试结构(Web Fuzzing)基础上,分析现有测试向量生成方法,引入遗传算法来改进Web模糊测试向量生成方法。基于该方法实现XSS模糊测试工具,使用该工具对2个Web应用系统进行测试,将结果与现有模糊测试工具测试结果对比,验证了使用该方法挖掘Web漏洞速度快,发现漏洞数更多,提高了漏洞挖掘效率。

秘钥交换环境下Web安全漏洞智能检测研究

为提高Web软件和网站的安全性,保护用户数据不受损伤,提出秘钥交换环境下Web安全漏洞智能检测方法。通过研究秘钥交换环境下Web安全漏洞的产生机理,设计安全性能更高的秘钥交换安全协议,在此基础上,从SVN服务器中解析出Web软件或网站的源代码,选定用于检测Web安全漏洞的功能插件并进行驱动,使用规则表达式规范功能插件的检测规则,从而检测出秘钥交换环境下的Web安全漏洞。实验结果表明,该方法在秘钥交换环境下的检测可靠性高、灵活性强。

Web漏洞风险扫描技术分析

随着信息时代的到来,互联网所具有便利性逐渐为人们所熟知,虽然互联网的出现给人们生活带来了便利,但也在无形中增加了安全问题出现的概率。Web漏洞始终是网络安全相关研究的重点,文章便以此为落脚点,在对研究背景进行简要说明的基础上,围绕漏洞扫描所使用技术展开了系统且深入的讨论,具体内容涉及扫描原理、研发步骤等方面。希望能使相关人员受到启发,通过研发全新扫描技术的方式,使漏洞扫描工作得到高效开展,将Web漏洞所造成的影响降至最低。

Web应用安全漏洞测试工具Punks的设计与实现

文中设计和实现了一个Web应用安全漏洞测试工具Punks。其中Punks的爬行模块的设计与实现来源于对开源的网络爬虫软件Harvestman的改写,进而达到了高性能的多线程爬行。为了提高整体性能,还设计和实现了一个具有队列缓冲机制和多线程机制支持的注入/分析组件,并把改写后的网络爬行组件和它很好的集成,最终实现了一个高性能的Web应用安全漏洞测试工具。

Web安全漏洞的研究

Web信息系统已经在当今的各个领域广泛应用,而这些基于Web的应用系统在网络环境中正面临着安全方面的威胁。本文总结了常见的Web安全漏洞和Web攻击方法,探讨了Web安全的主要技术,并提出了应对这些安全威胁的防范措施,这些措施将对设计人员、开发人员、架构师和管理人员有益。

Web应用漏洞扫描工具的研究与设计

随着互联网的快速发展,网络安全显得格外重要.Web应用漏洞扫描工具能够有效地检测出Web应用漏洞,防止黑客利用漏洞.但目前的Web应用漏洞扫描工具大多是单机应用,扫描效率不高.本文设计一种新的Web应用漏洞扫描系统架构,将以往的单机应用分解为多个模块,每个模块部署在不同的计算机上,利用多台计算机的计算能力来提高扫描效率.