期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
共找到236篇文章
< 1 2 12 >
每页显示 20 50 100
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
显示方式:
Detection and defending the XSS attack using novel hybrid stacking ensemble learning-based DNN approach 被引量:1
1
作者 Muralitharan Krishnan Yongdo Lim +1 位作者 Seethalakshmi Perumal Gayathri Palanisamy 《Digital Communications and Networks》 SCIE CSCD 2024年第3期716-727,共12页
Existing web-based security applications have failed in many situations due to the great intelligence of attackers.Among web applications,Cross-Site Scripting(XSS)is one of the dangerous assaults experienced while mod... Existing web-based security applications have failed in many situations due to the great intelligence of attackers.Among web applications,Cross-Site Scripting(XSS)is one of the dangerous assaults experienced while modifying an organization's or user's information.To avoid these security challenges,this article proposes a novel,all-encompassing combination of machine learning(NB,SVM,k-NN)and deep learning(RNN,CNN,LSTM)frameworks for detecting and defending against XSS attacks with high accuracy and efficiency.Based on the representation,a novel idea for merging stacking ensemble with web applications,termed“hybrid stacking”,is proposed.In order to implement the aforementioned methods,four distinct datasets,each of which contains both safe and unsafe content,are considered.The hybrid detection method can adaptively identify the attacks from the URL,and the defense mechanism inherits the advantages of URL encoding with dictionary-based mapping to improve prediction accuracy,accelerate the training process,and effectively remove the unsafe JScript/JavaScript keywords from the URL.The simulation results show that the proposed hybrid model is more efficient than the existing detection methods.It produces more than 99.5%accurate XSS attack classification results(accuracy,precision,recall,f1_score,and Receiver Operating Characteristic(ROC))and is highly resistant to XSS attacks.In order to ensure the security of the server's information,the proposed hybrid approach is demonstrated in a real-time environment. 展开更多
关键词 Machine learning Deep neural networks Classification Stacking ensemble xss attack URL encoding JScript/JavaScript Web security
下载PDF
基于贝叶斯网络及STRIDE模型的XSS风险分析
2
作者 周鋆 符鹏涛 《指挥与控制学报》 CSCD 北大核心 2024年第1期38-46,共9页
贝叶斯网络因能够对事件进行建模并给出紧凑的概率表示,被广泛地用在风险分析上。针对XSS攻击,基于STRIDE威胁模型构建贝叶斯网络结构模型,并通过专家经验和排序节点获取节点先验概率,在此基础上采用拒绝性采样算法得到数据集,进而学习... 贝叶斯网络因能够对事件进行建模并给出紧凑的概率表示,被广泛地用在风险分析上。针对XSS攻击,基于STRIDE威胁模型构建贝叶斯网络结构模型,并通过专家经验和排序节点获取节点先验概率,在此基础上采用拒绝性采样算法得到数据集,进而学习贝叶斯网络参数。利用贝叶斯网络推理计算Web系统遭受XSS攻击的风险,找到弱点以加强相应的防护措施,实现积极防御。 展开更多
关键词 跨站脚本攻击xss 贝叶斯网络 STRIDE威胁分类 排序节点 拒绝性采样
下载PDF
Detecting XSS with Random Forest and Multi-Channel Feature Extraction
3
作者 Qiurong Qin Yueqin Li +3 位作者 Yajie Mi Jinhui Shen Kexin Wu Zhenzhao Wang 《Computers, Materials & Continua》 SCIE EI 2024年第7期843-874,共32页
In the era of the Internet,widely used web applications have become the target of hacker attacks because they contain a large amount of personal information.Among these vulnerabilities,stealing private data through cr... In the era of the Internet,widely used web applications have become the target of hacker attacks because they contain a large amount of personal information.Among these vulnerabilities,stealing private data through crosssite scripting(XSS)attacks is one of the most commonly used attacks by hackers.Currently,deep learning-based XSS attack detection methods have good application prospects;however,they suffer from problems such as being prone to overfitting,a high false alarm rate,and low accuracy.To address these issues,we propose a multi-stage feature extraction and fusion model for XSS detection based on Random Forest feature enhancement.The model utilizes RandomForests to capture the intrinsic structure and patterns of the data by extracting leaf node indices as features,which are subsequentlymergedwith the original data features to forma feature setwith richer information content.Further feature extraction is conducted through three parallel channels.Channel I utilizes parallel onedimensional convolutional layers(1Dconvolutional layers)with different convolutional kernel sizes to extract local features at different scales and performmulti-scale feature fusion;Channel II employsmaximum one-dimensional pooling layers(max 1D pooling layers)of various sizes to extract key features from the data;and Channel III extracts global information bi-directionally using a Bi-Directional Long-Short TermMemory Network(Bi-LSTM)and incorporates a multi-head attention mechanism to enhance global features.Finally,effective classification and prediction of XSS are performed by fusing the features of the three channels.To test the effectiveness of the model,we conduct experiments on six datasets.We achieve an accuracy of 100%on the UNSW-NB15 dataset and 99.99%on the CICIDS2017 dataset,which is higher than that of the existing models. 展开更多
关键词 Random forest feature enhancement three-channel parallelism xss detection
下载PDF
Deploying Hybrid Ensemble Machine Learning Techniques for Effective Cross-Site Scripting(XSS)Attack Detection
4
作者 Noor Ullah Bacha Songfeng Lu +3 位作者 Attiq Ur Rehman Muhammad Idrees Yazeed Yasin Ghadi Tahani Jaser Alahmadi 《Computers, Materials & Continua》 SCIE EI 2024年第10期707-748,共42页
Cross-Site Scripting(XSS)remains a significant threat to web application security,exploiting vulnerabilities to hijack user sessions and steal sensitive data.Traditional detection methods often fail to keep pace with ... Cross-Site Scripting(XSS)remains a significant threat to web application security,exploiting vulnerabilities to hijack user sessions and steal sensitive data.Traditional detection methods often fail to keep pace with the evolving sophistication of cyber threats.This paper introduces a novel hybrid ensemble learning framework that leverages a combination of advanced machine learning algorithms—Logistic Regression(LR),Support Vector Machines(SVM),eXtreme Gradient Boosting(XGBoost),Categorical Boosting(CatBoost),and Deep Neural Networks(DNN).Utilizing the XSS-Attacks-2021 dataset,which comprises 460 instances across various real-world trafficrelated scenarios,this framework significantly enhances XSS attack detection.Our approach,which includes rigorous feature engineering and model tuning,not only optimizes accuracy but also effectively minimizes false positives(FP)(0.13%)and false negatives(FN)(0.19%).This comprehensive methodology has been rigorously validated,achieving an unprecedented accuracy of 99.87%.The proposed system is scalable and efficient,capable of adapting to the increasing number of web applications and user demands without a decline in performance.It demonstrates exceptional real-time capabilities,with the ability to detect XSS attacks dynamically,maintaining high accuracy and low latency even under significant loads.Furthermore,despite the computational complexity introduced by the hybrid ensemble approach,strategic use of parallel processing and algorithm tuning ensures that the system remains scalable and performs robustly in real-time applications.Designed for easy integration with existing web security systems,our framework supports adaptable Application Programming Interfaces(APIs)and a modular design,facilitating seamless augmentation of current defenses.This innovation represents a significant advancement in cybersecurity,offering a scalable and effective solution for securing modern web applications against evolving threats. 展开更多
关键词 Cross-site scripting machine learning xss detection stacking ensemble learning hybrid learning
下载PDF
基于SE通道注意力和稠密连接的XSS检测模型
5
作者 焦若邻 吴珊 《电子设计工程》 2024年第21期51-55,共5页
针对目前已有的XSS深度学习检测方法无法同时做到收敛速度快、检测效果好、参数量少这一缺陷,提出了一种融合了SE通道注意力机制和稠密连接思想的XSS攻击检测模型,将稠密连接网络DenseNet与XSS攻击检测结合起来,利用DenseNet结构中互相... 针对目前已有的XSS深度学习检测方法无法同时做到收敛速度快、检测效果好、参数量少这一缺陷,提出了一种融合了SE通道注意力机制和稠密连接思想的XSS攻击检测模型,将稠密连接网络DenseNet与XSS攻击检测结合起来,利用DenseNet结构中互相连接所有的层的特点,加强特征传播和特征重用,挖掘较深层次的文本特征。对DenseNet网络进行了简化与改进,在DenseBlock中增加了SE注意力机制,使模型更加关注有用的通道信息,以获得更快的收敛速度和更好的分类效果,并将普通卷积替换为蓝图卷积,进一步减少了模型参数量。实验结果表明,该模型能够在达到最高精度分类效果的前提下,大幅度减少模型参数量,提升收敛速度。 展开更多
关键词 深度学习 稠密连接 蓝图卷积 SE注意力机制 xss攻击检测
下载PDF
基于CNN和多注意力机制的XSS检测模型 被引量:2
6
作者 关慧 曹同洲 《计算机技术与发展》 2023年第4期175-181,共7页
为了解决普通深度学习模型存在的难以区分信息重要性差异,以及单一注意力机制存在的关注维度单一的问题,文中提出了一种基于卷积神经网络和多注意力机制的模型对XSS攻击进行检测。首先,将经过word2vec转换后的数据输入到卷积神经网络提... 为了解决普通深度学习模型存在的难以区分信息重要性差异,以及单一注意力机制存在的关注维度单一的问题,文中提出了一种基于卷积神经网络和多注意力机制的模型对XSS攻击进行检测。首先,将经过word2vec转换后的数据输入到卷积神经网络提取局部特征;然后,使用自注意力模块学习数据的长距离依赖关系,并加强模型对序列维度上重要特征的关注;接着,经过通道注意力模块从通道维度对不同的通道特征图加权;之后,将经注意力模块处理过的特征输入到池化层进行下采样处理,并使用Dropout层提高模型的泛化能力;最后,利用提取到的特征对样本进行分类。使用测试数据集对文中提出的模型进行实验,结果显示,该模型对XSS攻击的检测效果良好,准确率与F1值相比其他深度学习模型有一定程度提升。 展开更多
关键词 卷积神经网络 多注意力机制 xss攻击 word2vec 自注意力 通道注意力
下载PDF
An Improved LSTM-PCA Ensemble Classifier for SQL Injection and XSS Attack Detection 被引量:1
7
作者 Deris Stiawan Ali Bardadi +7 位作者 Nurul Afifah Lisa Melinda Ahmad Heryanto Tri Wanda Septian Mohd Yazid Idris Imam Much Ibnu Subroto Lukman Rahmat Budiarto 《Computer Systems Science & Engineering》 SCIE EI 2023年第8期1759-1774,共16页
The Repository Mahasiswa(RAMA)is a national repository of research reports in the form of final assignments,student projects,theses,dissertations,and research reports of lecturers or researchers that have not yet been... The Repository Mahasiswa(RAMA)is a national repository of research reports in the form of final assignments,student projects,theses,dissertations,and research reports of lecturers or researchers that have not yet been published in journals,conferences,or integrated books from the scientific repository of universities and research institutes in Indonesia.The increasing popularity of the RAMA Repository leads to security issues,including the two most widespread,vulnerable attacks i.e.,Structured Query Language(SQL)injection and cross-site scripting(XSS)attacks.An attacker gaining access to data and performing unauthorized data modifications is extremely dangerous.This paper aims to provide an attack detection system for securing the repository portal from the abovementioned attacks.The proposed system combines a Long Short–Term Memory and Principal Component Analysis(LSTM-PCA)model as a classifier.This model can effectively solve the vanishing gradient problem caused by excessive positive samples.The experiment results show that the proposed system achieves an accuracy of 96.85%using an 80%:20%ratio of training data and testing data.The rationale for this best achievement is that the LSTM’s Forget Gate works very well as the PCA supplies only selected features that are significantly relevant to the attacks’patterns.The Forget Gate in LSTM is responsible for deciding which information should be kept for computing the cell state and which one is not relevant and can be discarded.In addition,the LSTM’s Input Gate assists in finding out crucial information and stores specific relevant data in the memory. 展开更多
关键词 LSTM PCA ensemble classifier SQL injection xss
下载PDF
反XSS绕过过滤规则设计与研究
8
作者 王万兵 叶水生 肖璐 《计算机与数字工程》 2018年第4期788-792,共5页
XSS(Cross Site Scripting)攻击是目前最流行的WEB攻击方式之一,随着对XSS攻击的防护提升,XSS攻击的变种也逐渐增多,最终目的为绕过防护系统进行攻击。针对上述问题,制定新的过滤规则,并基于过滤规则建立XSS过滤模型,规则的制定是基于... XSS(Cross Site Scripting)攻击是目前最流行的WEB攻击方式之一,随着对XSS攻击的防护提升,XSS攻击的变种也逐渐增多,最终目的为绕过防护系统进行攻击。针对上述问题,制定新的过滤规则,并基于过滤规则建立XSS过滤模型,规则的制定是基于可控的XSS敏感字符库来实现的。反绕过的最终实现形式为XSS过滤模型的建立,将该过滤模型集成到WEB项目中,对可能出现漏检或绕过的字符进行收集并列入敏感字符库中,应对XSS绕过攻击。实验表明,该过滤模型能够有效地应对XSS绕过攻击,并降低系统安全维护难度,同时能够有效应对未知的XSS攻击。 展开更多
关键词 xss跨站脚本攻击 xss绕过攻击 xss敏感字符库 xss过滤模型
下载PDF
基于迁移学习的站间XSS入侵检测方法
9
作者 吴亚玲 张震 +2 位作者 李婷妤 刘芳 李智勇 《科技资讯》 2023年第19期39-42,共4页
传统的朴素贝叶斯进行XSS入侵检测时,要求测试数据集和训练数据集来自同一个领域,训练数据集不足时限制了XSS入侵检测的领域。针对上述问题,该文基于迁移学习的思想,提出了基于迁移学习的站间XSS入侵检测方法,解决了站内训练数据不足的... 传统的朴素贝叶斯进行XSS入侵检测时,要求测试数据集和训练数据集来自同一个领域,训练数据集不足时限制了XSS入侵检测的领域。针对上述问题,该文基于迁移学习的思想,提出了基于迁移学习的站间XSS入侵检测方法,解决了站内训练数据不足的问题。首先通过欧氏距离计算属性之间的相似度,其次引入万有引力机制计算不同属性的权重,最后使用迁移学习改进的MLWNB算法给加权之后的特征向量分类。实验表明:该方法能有效解决数据集选择范围小的问题,在保证该方法广泛使用的同时提高XSS入侵分类的精确度。 展开更多
关键词 迁移学习 xss入侵检测 相似性度量 朴素贝叶斯
下载PDF
基于反过滤规则集和自动爬虫的XSS漏洞深度挖掘技术 被引量:12
10
作者 吴子敬 张宪忠 +1 位作者 管磊 胡光俊 《北京理工大学学报》 EI CAS CSCD 北大核心 2012年第4期395-401,共7页
为解决Web网站跨站脚本攻击(XSS)问题,通过对XSS漏洞特征及过滤方式的分析,提出了通过反过滤规则集转换XSS代码并用自动爬虫程序实现漏洞代码的自动注入和可用性检验的XSS漏洞挖掘技术,依此方法可以获取XSS漏洞代码的转换形式及漏洞的... 为解决Web网站跨站脚本攻击(XSS)问题,通过对XSS漏洞特征及过滤方式的分析,提出了通过反过滤规则集转换XSS代码并用自动爬虫程序实现漏洞代码的自动注入和可用性检验的XSS漏洞挖掘技术,依此方法可以获取XSS漏洞代码的转换形式及漏洞的注入入口,以实现对Web跨站漏洞深度挖掘.提出的XSS漏洞挖掘技术在邮箱XSS漏洞挖掘及Web网站XSS漏洞检测方面的实际应用验证了该技术的有效性. 展开更多
关键词 跨站 xss反过滤 xss漏洞挖掘 自动爬虫
下载PDF
基于深度学习的XSS攻击检测研究
11
作者 杨达霏 姜潇蔚 《江苏通信》 2023年第3期94-98,102,共6页
互联网服务业务飞速发展的同时也伴随大量的Web攻击,其中XSS攻击长期位于各大漏洞排行榜的前十位,严重威胁着Web系统的安全。当前防御XSS的手段主要是针对跨站脚本所采用的特定规则进行过滤,然而这种防御手段是静态的,对于未知的恶意请... 互联网服务业务飞速发展的同时也伴随大量的Web攻击,其中XSS攻击长期位于各大漏洞排行榜的前十位,严重威胁着Web系统的安全。当前防御XSS的手段主要是针对跨站脚本所采用的特定规则进行过滤,然而这种防御手段是静态的,对于未知的恶意请求很难察觉。因此本文提出了一种文本卷积神经网络(TextCNN)和长短期记忆网络(LSTM)相结合的方法,实现对XSS攻击的智能检测。该方法将大量经过词向量化处理的正反样本输入到TextCNN+LSTM模型中进行训练和测试。结果表明本文提出的TextCNN+LSTM模型比LSTM和TextCNN模型具有更好的效果。 展开更多
关键词 xss 文本卷积神经网络 长短期记忆网络 攻击检测
下载PDF
XSS攻击机制及防御技术浅谈 被引量:3
12
作者 葛强 李俊 胡永权 《计算机时代》 2016年第10期11-14,共4页
跨站脚本攻击(XSS)是客户端Web安全的主要威胁。因跨站脚本攻击的多样性以及Web安全漏洞的隐蔽性,使得该类型的攻击很难彻底防御。介绍了跨站脚本攻击的基本概念,针对不同环境发生的跨站脚本攻击机制进行了分析,探讨了不同环境下如何防... 跨站脚本攻击(XSS)是客户端Web安全的主要威胁。因跨站脚本攻击的多样性以及Web安全漏洞的隐蔽性,使得该类型的攻击很难彻底防御。介绍了跨站脚本攻击的基本概念,针对不同环境发生的跨站脚本攻击机制进行了分析,探讨了不同环境下如何防御跨站脚本攻击的具体技术。 展开更多
关键词 WEB安全 xss 跨站脚本攻击 Web漏洞 xss防御
下载PDF
XSS攻击分析与防御机制研究 被引量:3
13
作者 张大卫 解永刚 +1 位作者 杨亚彪 何红玲 《数字技术与应用》 2012年第12期40-40,42,共2页
XSS(跨站脚本)漏洞是一种Web应用程序安全漏洞,常被黑客用来对Web用户发起攻击。本文主要介绍了XXS漏洞产生原理,分析了XXS攻击的三种类型,然后针对XSS攻击的防御方法进行了介绍,主要介绍了基于特征的防御、基于代码修改的防御和客户端... XSS(跨站脚本)漏洞是一种Web应用程序安全漏洞,常被黑客用来对Web用户发起攻击。本文主要介绍了XXS漏洞产生原理,分析了XXS攻击的三种类型,然后针对XSS攻击的防御方法进行了介绍,主要介绍了基于特征的防御、基于代码修改的防御和客户端分层防御三种防御方法,最后简要介绍了XSS防御的发展趋势。 展开更多
关键词 xss漏洞 xss攻击xss攻击防御 发展趋势
下载PDF
Stored-XSS漏洞检测的研究与设计 被引量:7
14
作者 李冰 赵逢禹 《计算机应用与软件》 CSCD 北大核心 2013年第3期17-21,共5页
跨站脚本XSS(Cross Site Scripting)漏洞已经成为了大多数网站共同面对的Web安全问题,对XSS漏洞的有效预防检测有利于提高Web安全。分析XSS漏洞的攻击原理,指出现有动态分析方法在检测存储型XSS漏洞方面的不足,提出一种有效的存储型漏... 跨站脚本XSS(Cross Site Scripting)漏洞已经成为了大多数网站共同面对的Web安全问题,对XSS漏洞的有效预防检测有利于提高Web安全。分析XSS漏洞的攻击原理,指出现有动态分析方法在检测存储型XSS漏洞方面的不足,提出一种有效的存储型漏洞动态检测方法。设计并实现了Stored-XSS漏洞动态检测模型,并在实际的场景下对该模型进行了测试评估,实验证明提出的方法能对存储型XSS漏洞进行有效检测。 展开更多
关键词 xss漏洞 WEB安全 存储型xss漏洞 动态检测
下载PDF
基于web站点的xss攻击分析与防范
15
作者 陈春燕 《电子制作》 2020年第14期51-52,共2页
xss攻击在web信息安全领域中一直是被关注的重点,是web安全中最大的漏洞,xss跨网站脚本攻击,恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。本文主要... xss攻击在web信息安全领域中一直是被关注的重点,是web安全中最大的漏洞,xss跨网站脚本攻击,恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。本文主要阐述了xss的机理和特点,重点分析了网页代码的检测以及木马的特征,并针对这些特点进行了一些相应防范对策的探讨。通过实际的环境对防御的效果进行展示,从而达到对xss漏洞修复的目的,让web站点中的xss漏洞防御的安全级别可以得到大大的提升。 展开更多
关键词 WEB站点 xss攻击 xss防范 动态测试 漏洞扫描
下载PDF
基于用户行为模拟的XSS漏洞检测 被引量:6
16
作者 王丹 刘源 +2 位作者 赵文兵 付利华 杜晓林 《大连理工大学学报》 EI CAS CSCD 北大核心 2017年第3期302-307,共6页
为改进XSS漏洞检测系统中对复杂网页漏洞注入点发现不够充分、动态地分析目标站点的响应信息不足等问题,改善XSS漏洞检测系统的注入点提取、攻击测试向量生成和响应分析等,提出了基于用户行为模拟的XSS漏洞检测方法.通过分析网页结构找... 为改进XSS漏洞检测系统中对复杂网页漏洞注入点发现不够充分、动态地分析目标站点的响应信息不足等问题,改善XSS漏洞检测系统的注入点提取、攻击测试向量生成和响应分析等,提出了基于用户行为模拟的XSS漏洞检测方法.通过分析网页结构找到多种非格式化注入点,并通过综合考虑字符串长度、字符种类等因素对攻击向量进行了优化,以绕过服务器的过滤函数,缩短漏洞测试所用的时间.测试结果表明所提方法提高了漏洞注入点的检测覆盖率,提升了XSS漏洞的检测效果. 展开更多
关键词 xss漏洞 检测 Headless浏览器 Ghost.py
下载PDF
XSS蠕虫在社交网络中的传播分析 被引量:8
17
作者 罗卫敏 刘井波 +1 位作者 刘静 陈晓峰 《计算机工程》 CAS CSCD 北大核心 2011年第10期128-130,共3页
通过分析社交网络的特点,将节点分为活跃节点和非活跃节点。针对XSS蠕虫的传播,分析其传播受到的影响因素,建立数学模型。仿真结果表明,节点访问偏向度对XSS蠕虫传播影响较小,而XSS蠕虫采用社会工程学的熟练度及节点安全意识,对XSS蠕虫... 通过分析社交网络的特点,将节点分为活跃节点和非活跃节点。针对XSS蠕虫的传播,分析其传播受到的影响因素,建立数学模型。仿真结果表明,节点访问偏向度对XSS蠕虫传播影响较小,而XSS蠕虫采用社会工程学的熟练度及节点安全意识,对XSS蠕虫传播影响较大。活跃节点的安全意识较大程度影响了XSS蠕虫传播效率,将活跃节点作为防御点和监控点的防御策略切实可行。 展开更多
关键词 社交网络 xss蠕虫 网络安全 活跃节点
下载PDF
基于爬虫的XSS漏洞检测工具设计与实现 被引量:28
18
作者 沈寿忠 张玉清 《计算机工程》 CAS CSCD 北大核心 2009年第21期151-154,共4页
通过对XSS漏洞的研究,剖析其产生、利用的方式,在此基础上针对XSS漏洞的检测机制进行进一步的分析和完善。结合网络爬虫的技术,研究设计并实现了一款XSS漏洞的检测工具(XSS-Scan),并与当前比较流行的一些软件做了分析比较,证明利用该工... 通过对XSS漏洞的研究,剖析其产生、利用的方式,在此基础上针对XSS漏洞的检测机制进行进一步的分析和完善。结合网络爬虫的技术,研究设计并实现了一款XSS漏洞的检测工具(XSS-Scan),并与当前比较流行的一些软件做了分析比较,证明利用该工具可以对Web网站进行安全审计,检测其是否存在XSS漏洞。 展开更多
关键词 xss漏洞 WEB安全 漏洞 网络爬虫
下载PDF
基于动态污点传播模型的DOM XSS漏洞检测 被引量:5
19
作者 贾文超 汪永益 +1 位作者 施凡 常超 《计算机应用研究》 CSCD 北大核心 2014年第7期2119-2122,2126,共5页
由于存在恶意代码不回显等特点,DOM XSS漏洞(DOM型跨站脚本漏洞)隐蔽性较强,利用传统的特征匹配的方法无法检测。分析DOM XSS漏洞的形成原理,提出一种基于动态污点传播模型的DOM XSS漏洞检测算法,重点研究污点引入和污点检查,利用混合... 由于存在恶意代码不回显等特点,DOM XSS漏洞(DOM型跨站脚本漏洞)隐蔽性较强,利用传统的特征匹配的方法无法检测。分析DOM XSS漏洞的形成原理,提出一种基于动态污点传播模型的DOM XSS漏洞检测算法,重点研究污点引入和污点检查,利用混合驱动爬虫实现自动化检测,采用函数劫持等方法检测污点数据的执行,并设计实现了原型系统DOM-XSScaner。在实验环境中与现有工具进行对比实验,实验数据显示原型系统提高了检测未过滤DOM XSS漏洞的准确率、召回率和效率,证明提出的算法能对DOM XSS漏洞进行有效检测。 展开更多
关键词 DOM xss 动态污点传播 混合驱动爬虫 函数劫持 包过滤
下载PDF
基于静态分析和动态检测的XSS漏洞发现 被引量:12
20
作者 潘古兵 周彦晖 《计算机科学》 CSCD 北大核心 2012年第B06期51-53,85,共4页
Web应用程序数量多、应用广泛,然而它们却存在各种能被利用的安全漏洞,这当中跨站脚本(XSS)的比例是最大的。因此为了更好地检测Web应用中的XSS漏洞,提出了一种结合污染传播模型的代码静态分析及净化单元动态检测的方法,其中包括XSS漏... Web应用程序数量多、应用广泛,然而它们却存在各种能被利用的安全漏洞,这当中跨站脚本(XSS)的比例是最大的。因此为了更好地检测Web应用中的XSS漏洞,提出了一种结合污染传播模型的代码静态分析及净化单元动态检测的方法,其中包括XSS漏洞所对应的源规则、净化规则和接收规则的定义及净化单元动态检测算法的描述。分析表明,该方法能有效地发现Web应用中的XSS漏洞。 展开更多
关键词 xss漏洞 污染传播模型 净化单元 静态分析 动态检测
下载PDF
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
上一页 1 2 12 下一页 到第
使用帮助 返回顶部