Web跨站脚本漏洞检测工具的设计与实现 被引量：18

1

作者 陈建青 张玉清 《计算机工程》 CAS CSCD 北大核心 2010年第6期152-154,157,共4页

分析跨站脚本漏洞的形成原因,提出从攻击作用位置角度对跨站脚本漏洞进行分类的方法,在此基础上完善跨站脚本漏洞检测模型,实现动态的漏洞检测工具,弥补现有工具的缺陷,检测结果更为完整。实验证明,该工具能有效检测Web应用程序中的跨... 分析跨站脚本漏洞的形成原因,提出从攻击作用位置角度对跨站脚本漏洞进行分类的方法,在此基础上完善跨站脚本漏洞检测模型,实现动态的漏洞检测工具,弥补现有工具的缺陷,检测结果更为完整。实验证明,该工具能有效检测Web应用程序中的跨站脚本漏洞,较同类工具更具优越性。 展开更多

关键词 WEB应用 跨站脚本 漏洞

下载PDF 职称材料

一种基于行为的XSS客户端防范方法 被引量：15

2

作者 王夏莉 张玉清 《中国科学院研究生院学报》 CAS CSCD 北大核心 2011年第5期668-675,共8页

跨站脚本(XSS)漏洞是Web安全的最大威胁之一.目前XSS防范方法主要为在服务端对用户输入进行过滤.这种方法漏报率较高,且不能及时保护互联网用户.通过对XSS攻击行为,尤其是XSS蠕虫的传播行为进行深入分析,设计并实现了一套新的基于行为... 跨站脚本(XSS)漏洞是Web安全的最大威胁之一.目前XSS防范方法主要为在服务端对用户输入进行过滤.这种方法漏报率较高,且不能及时保护互联网用户.通过对XSS攻击行为,尤其是XSS蠕虫的传播行为进行深入分析,设计并实现了一套新的基于行为的客户端XSS防范方案StopXSS.通过实验及与现有常用客户端XSS防范方案比较,证明其具有对XSS攻击,甚至对0-Day XSS蠕虫的防范能力. 展开更多

关键词 WEB安全 JAVAscript 跨站脚本 xss蠕虫

下载PDF 职称材料

BiLSTM在跨站脚本检测中的应用研究 被引量：8

3

作者 程琪芩 万良 《计算机科学与探索》 CSCD 北大核心 2020年第8期1338-1347,共10页

目前传统的跨站脚本(XSS)检测技术大多使用机器学习方法,存在代码被恶意混淆导致可读性不高、特征提取不充分并且效率低等缺陷,从而导致检测性能不佳。针对上述问题,提出了使用双向长短时记忆网络检测跨站脚本攻击的方法。首先,对数据... 目前传统的跨站脚本(XSS)检测技术大多使用机器学习方法,存在代码被恶意混淆导致可读性不高、特征提取不充分并且效率低等缺陷,从而导致检测性能不佳。针对上述问题,提出了使用双向长短时记忆网络检测跨站脚本攻击的方法。首先,对数据进行预处理,使用解码技术将跨站脚本代码还原到未编码状态,从而提高跨站脚本代码的可读性,再使用深度学习工具word2vec将解码后的代码转换为向量作为神经网络的输入;其次,使用双向长短时记忆网络双向学习跨站脚本攻击的抽象特征;最后,使用softmax分类器对学习到的抽象特征进行分类,同时使用dropout算法避免模型出现过拟合。对收集到的数据集进行实验,结果表明,与几种传统机器学习方法和深度学习方法相比,该检测方法表现出更优的检测性能。 展开更多

关键词 跨站脚本(xss) 解码技术 word2vec 双向长短时记忆网络(BiLSTM)

下载PDF 职称材料

一种XSS漏洞检测方法的设计与实现 被引量：7

4

作者 左丹丹 王丹 付利华 《计算机应用与软件》 CSCD 2016年第7期278-281,298,共5页

跨站脚本(XSS)漏洞是近年来较为流行的一种漏洞,随着Ajax技术的广泛应用,其危害性及快速的传播能力也越来越强。现有的漏洞检测技术没有充分对该类漏洞的漏洞注入点进行研究,使用的漏洞检测技术也没有充分考虑测试请求后响应的页面,导... 跨站脚本(XSS)漏洞是近年来较为流行的一种漏洞,随着Ajax技术的广泛应用,其危害性及快速的传播能力也越来越强。现有的漏洞检测技术没有充分对该类漏洞的漏洞注入点进行研究,使用的漏洞检测技术也没有充分考虑测试请求后响应的页面,导致漏洞检测率相对较低。针对现有漏洞检测技术的不足之处,加强对隐含页面的DOM结构分析,提出基于DOM状态改变的方式查找漏洞注入点的方法。在此基础上提出基于页面交互点相关的漏洞检测方法,设计并实现了漏洞检测原型系统。实验证明,该原型系统能够找到更多的漏洞注入点,能有效地提高漏洞检测率。 展开更多

关键词 跨站脚本漏洞 漏洞注入点 隐含页面 漏洞检测

下载PDF 职称材料

基于循环神经网络的Web应用防火墙加固方案 被引量：5

5

作者 朱思猛 杜瑞颖 +1 位作者 陈晶 何琨 《计算机工程》 CAS CSCD 北大核心 2022年第11期120-126,共7页

Web应用防火墙(WAF)基于一组规则检测和过滤进出Web应用程序的HTTP流量,鉴于恶意流量的复杂性,需要对WAF规则进行不断更新以抵御最新的攻击。然而,现有的WAF规则更新方法都需要专业知识来人工设计关于某种攻击的恶意测试流量,并针对该... Web应用防火墙(WAF)基于一组规则检测和过滤进出Web应用程序的HTTP流量,鉴于恶意流量的复杂性,需要对WAF规则进行不断更新以抵御最新的攻击。然而,现有的WAF规则更新方法都需要专业知识来人工设计关于某种攻击的恶意测试流量,并针对该恶意流量生成防护规则,这种方法十分耗时且不能扩展到其他类型的攻击。提出一种基于循环神经网络(RNN)的Web应用防火墙加固方案,在不依赖任何专业知识的情况下自动化加固WAF。使用RNN模型生成恶意攻击样本,从中找到能够绕过WAF的恶意攻击,发现WAF规则存在的安全风险。在此基础上,通过设计评分函数找到恶意攻击样本的重要字符串来生成加固签名,阻止后续类似的攻击,并设计简化的正则表达式作为加固签名的表达形式。在4款WAF上针对SQL注入、跨站脚本攻击和命令注入这3种攻击进行测试,结果显示,该方案成功生成了大量绕过WAF的恶意样本,WAF针对这些样本的平均拦截率仅为52%,与传统突变方案和SQLMap工具相比能够生成更多绕过恶意攻击,在应用加固签名后,WAF的恶意攻击拦截率提升至90%以上且误报率维持为0,表明加固签名成功阻止了这些绕过攻击,验证了所提方案的有效性。 展开更多

关键词 WEB应用防火墙 循环神经网络 SQL注入 跨站脚本 命令注入

下载PDF 职称材料

基于哈希树和有限状态机的XSS检测模型 被引量：4

6

作者 曹文 郭帆 +1 位作者 余敏 张磊 《计算机工程》 CAS CSCD 2013年第6期154-157,161,共5页

目前对于跨站脚本(XSS)攻击缺乏有效的防御措施。针对该问题,提出一种基于哈希树的多模式匹配模型,以快速检测XSS攻击。将质数分辨定理作为哈希散列函数的基础,对特征值进行编码,使其成为特征节点进行动态增减,以构建哈希树,并结合改进... 目前对于跨站脚本(XSS)攻击缺乏有效的防御措施。针对该问题,提出一种基于哈希树的多模式匹配模型,以快速检测XSS攻击。将质数分辨定理作为哈希散列函数的基础,对特征值进行编码,使其成为特征节点进行动态增减,以构建哈希树,并结合改进的确定性有限状态机算法提取多模式相似度攻击向量,实现多模式匹配的快速检测。实验结果表明,该模型的检测准确率较高,漏报率和误报率较低,能满足大范围XSS脚本攻击的防范要求。 展开更多

关键词 哈希树 跨站脚本 相似度 确定性有限状态机 攻击向量

下载PDF 职称材料

一种自动化的跨站脚本漏洞发现模型 被引量：4

7

作者 马富天 钱雪忠 宋威 《计算机工程》 CAS CSCD 北大核心 2018年第8期167-173,共7页

跨站脚本攻击给Web应用带来严重的威胁,在应用发布之前,对其进行检测能够有效地降低漏洞风险。针对现有跨站脚本在动态检测中存在漏报误报的问题,提出一种动态检测方法。基于攻击向量基本侯选元素库和初始攻击向量种子库,在检测过程中... 跨站脚本攻击给Web应用带来严重的威胁,在应用发布之前,对其进行检测能够有效地降低漏洞风险。针对现有跨站脚本在动态检测中存在漏报误报的问题,提出一种动态检测方法。基于攻击向量基本侯选元素库和初始攻击向量种子库,在检测过程中自动生成符合输出点类型的有效攻击向量,根据当前时刻的检测结果,自适应调整攻击向量优先级,待所有注入点攻击完毕,重新二次遍历整个站点检验待发现的漏洞。实验结果表明,与APPScan、WVS相比,该方法能发现更多漏洞。 展开更多

关键词 跨站脚本 动态检测 静态分析 攻击向量 合法向量

下载PDF 职称材料

Web安全问题及防护研究 被引量：1

8

作者 巢佳 《信息与电脑》 2023年第19期196-198,共3页

随着信息时代的到来,网络安全问题越来越受到人们关注,其中Web安全问题是最常见的安全问题。文章根据风险的发生频率和危害程度,以结构化查询语言(Structured Query Language,SQL)注入、跨站脚本攻击(Cross Site Scripting,XSS)注入、... 随着信息时代的到来,网络安全问题越来越受到人们关注,其中Web安全问题是最常见的安全问题。文章根据风险的发生频率和危害程度,以结构化查询语言(Structured Query Language,SQL)注入、跨站脚本攻击(Cross Site Scripting,XSS)注入、文件上传漏洞为例,研究这3种安全风险的原理、分类及安全防护。 展开更多

关键词 WEB安全 结构化查询语言(SQL) 跨站脚本攻击(xss) 安全防护

下载PDF 职称材料

基于Django的XSS防御研究与实现 被引量：2

9

作者 韩可彧 李伟 《电子设计工程》 2018年第6期38-41,47,共5页

跨站脚本攻击(XSS)是当前最流行的Web应用攻击方式之一,而Django作为目前比较火热的Web应用开发框架,并没有为其开发的Web应用提供有效的XSS防御功能。本文针对此问题,采用中间件,黑白名单,SBT,字符熵以及N-gram等多种技术,为Django设... 跨站脚本攻击(XSS)是当前最流行的Web应用攻击方式之一,而Django作为目前比较火热的Web应用开发框架,并没有为其开发的Web应用提供有效的XSS防御功能。本文针对此问题,采用中间件,黑白名单,SBT,字符熵以及N-gram等多种技术,为Django设计了一个XSS防御组件。基于该组件分别进行了功能及性能测试,其中漏报率和误报率都低于3%,平均响应延迟5%,并能有效解决原生Django在XSS防护时过分依赖模板变量且不能适应富文本应用场景等问题,系统安全可靠。 展开更多

关键词 跨站脚本攻击 Djano 中间件 模板变量 富文本

下载PDF 职称材料

跨站脚本攻击与防范研究

10

作者 张雨锋 王炅 《无线互联科技》 2023年第13期139-142,147,共5页

随着互联网的快速发展,越来越多的Web应用漏洞不断涌现,这对互联网安全造成了很大的威胁。其中,跨站脚本漏洞在Web漏洞中尤为常见,根据这一漏洞,跨站脚本攻击得以实现。这种攻击可以将恶意代码植入特定的网页,从而破坏系统的安全性。跨... 随着互联网的快速发展,越来越多的Web应用漏洞不断涌现,这对互联网安全造成了很大的威胁。其中,跨站脚本漏洞在Web漏洞中尤为常见,根据这一漏洞,跨站脚本攻击得以实现。这种攻击可以将恶意代码植入特定的网页,从而破坏系统的安全性。跨站脚本攻击具有匿名性、易操作、难以检测等特点,是当前互联网上比较常见的攻击手段之一。文章基于Web的环境探讨跨站脚本攻击问题,研究跨站脚本攻击的攻击原理,根据不同的类别分析漏洞成因,研究这类攻击的危害和影响,根据攻击特点提出相应的预防措施。 展开更多

关键词 WEB应用安全 跨站脚本 攻击原理与漏洞成因

下载PDF 职称材料

基于贝叶斯网络的XSS攻击检测方法 被引量：10

11

作者 王培超 周鋆 +1 位作者 朱承 张维明 《中国科学技术大学学报》 CAS CSCD 北大核心 2019年第2期166-172,共7页

跨站脚本(XSS)攻击是最严重的网络攻击之一.传统的XSS检测方法主要从漏洞本身入手,多依赖于静态分析和动态分析,在多样化的攻击载荷(payload)面前显得力不从心.为此提出一种基于贝叶斯网络的XSS攻击检测方法,通过领域知识获取该网络中... 跨站脚本(XSS)攻击是最严重的网络攻击之一.传统的XSS检测方法主要从漏洞本身入手,多依赖于静态分析和动态分析,在多样化的攻击载荷(payload)面前显得力不从心.为此提出一种基于贝叶斯网络的XSS攻击检测方法,通过领域知识获取该网络中的节点.利用领域知识构建的本体为贝叶斯网络的构建提供良好的特征选择基础,并从中提取了17个特征,同时从公开渠道搜集的恶意IP和恶意域名为该模型及时检测新型攻击补充有力规则.为验证所提方法的有效性,在实际收集的XSS攻击数据集上进行实验,结果表明,在面对多样化的攻击时,该方法可以保持90%以上的检测准确率. 展开更多

关键词 跨站脚本(xss)攻击检测 贝叶斯网络 领域知识 恶意IP 恶意域名

下载PDF 职称材料

基于类图像处理与向量化的大数据脚本攻击智能检测 被引量：8

12

作者 张海军 陈映辉 《计算机工程》 CAS CSCD 北大核心 2020年第3期129-137,143,共10页

通过类图像处理与向量化方法对访问流量语料库大数据进行词向量化处理,实现面向大数据跨站脚本攻击的智能检测。利用类图像处理方法进行数据获取、数据清洗、数据抽样和特征提取,设计一种基于神经网络的词向量化算法,得到词向量化大数... 通过类图像处理与向量化方法对访问流量语料库大数据进行词向量化处理,实现面向大数据跨站脚本攻击的智能检测。利用类图像处理方法进行数据获取、数据清洗、数据抽样和特征提取,设计一种基于神经网络的词向量化算法,得到词向量化大数据。在此基础上,提出多种不同深度的DCNNs智能检测算法。设置不同的超参数进行实验得到算法的识别率均值、方差和标准差,结果表明,该算法具有较高的识别率和稳定性。 展开更多

关键词 Web入侵检测 跨站脚本攻击 自然语言处理 大数据 网络空间安全

下载PDF 职称材料

基于模糊测试的反射型跨站脚本漏洞检测 被引量：8

13

作者 倪萍 陈伟 《计算机应用》 CSCD 北大核心 2021年第9期2594-2601,共8页

针对目前现代万维网(WWW)应用程序中跨站脚本(XSS)漏洞检测技术存在的效率低,以及漏报率、误报率高等问题,提出了一个基于模糊测试的反射型XSS漏洞检测系统。首先,通过网络爬虫技术爬取整站指定深度的网页链接并对其进行分析,从而提取... 针对目前现代万维网(WWW)应用程序中跨站脚本(XSS)漏洞检测技术存在的效率低,以及漏报率、误报率高等问题,提出了一个基于模糊测试的反射型XSS漏洞检测系统。首先,通过网络爬虫技术爬取整站指定深度的网页链接并对其进行分析,从而提取出潜在的用户注入点;其次,根据攻击载荷的语法形式构造模糊测试用例,并为每个元素设置初始权重,依据注入探子向量来获取输出点类型,从而选择对应的攻击语法模式来构造较有潜力的攻击载荷,并对其进行变异操作以形成变异攻击载荷来作为请求参数;然后,对网站响应进行分析,并调整元素的权重,以便生成更加高效的攻击载荷;最后,将该系统与ZAP、Wapiti系统做横向对比。实验结果表明,所提系统能够发现的潜在用户注入点数提升了12.5%,漏洞误报率下降至0.37%,漏报率低于2.23%;同时减少了请求次数,节约了检测时间。 展开更多

关键词 跨站脚本漏洞检测 爬虫 模糊测试 探子向量 攻击载荷 权重调整

下载PDF 职称材料

OSN中基于分类器和改进n-gram模型的跨站脚本检测方法 被引量：3

14

作者 李沁蕾 王蕊 贾晓启 《计算机应用》 CSCD 北大核心 2014年第6期1661-1665,共5页

针对在线社交网络中跨站脚本(XSS)攻击的安全问题,提出了一种在线社交网络恶意网页的检测方法。该方法依据在线社交网络中跨站脚本恶意代码的传播特性,提取一组基于相似性和差异性的特征,构造分类器和改进n-gram模型,再利用两种模型的组... 针对在线社交网络中跨站脚本(XSS)攻击的安全问题,提出了一种在线社交网络恶意网页的检测方法。该方法依据在线社交网络中跨站脚本恶意代码的传播特性,提取一组基于相似性和差异性的特征,构造分类器和改进n-gram模型,再利用两种模型的组合,检测在线社交网络网页是否恶意。实验结果表明,与传统的分类器检测方法相比,结合了改进n-gram模型的检测方法保证了检测结果的可靠性,误报率约为5%。 展开更多

关键词 在线社交网络 跨站脚本攻击 分类器 N-GRAM模型 检测

下载PDF 职称材料

服务器-客户端协作的跨站脚本攻击防御方法 被引量：2

15

作者 许思远 郑滔 《计算机工程》 CAS CSCD 北大核心 2011年第18期154-156,共3页

在网络应用的链接中注入恶意代码,以此欺骗用户浏览器,当用户访问这些网站时便会受到跨站脚本攻击。为此,提出基于服务器端-客户端协作的跨站脚本攻击防御方法。利用规则文件、文档对象模型完整性测试和脚本混淆监测等方法,提高脚本的... 在网络应用的链接中注入恶意代码,以此欺骗用户浏览器,当用户访问这些网站时便会受到跨站脚本攻击。为此,提出基于服务器端-客户端协作的跨站脚本攻击防御方法。利用规则文件、文档对象模型完整性测试和脚本混淆监测等方法,提高脚本的检测效率和准确性。实验结果表明,该方法能获得良好的攻击防御效果。 展开更多

关键词 跨站脚本攻击 文档对象模型完整性 规则文件 脚本混淆

下载PDF 职称材料

基于Python的WEB黑客攻击技术分析研究 被引量：1

16

作者 贺军忠 《软件工程》 2020年第6期33-35,共3页

通过对Web黑客攻击的语言分析研究,得知大部分黑客都以Python为攻击语言,依托Internet对各种网络服务器和客户端进行攻击与密码破解。文章着重从基于Python的各种Web攻击目的入手,通过列举的方法分析研究各种Web黑客攻击技术与攻击过程... 通过对Web黑客攻击的语言分析研究,得知大部分黑客都以Python为攻击语言,依托Internet对各种网络服务器和客户端进行攻击与密码破解。文章着重从基于Python的各种Web攻击目的入手,通过列举的方法分析研究各种Web黑客攻击技术与攻击过程。根据各种基于Python的WEB黑客攻击技术的攻击方法,分析研究其攻击过程,为企业等部门与单位的Web安全防护提供理论依据。 展开更多

关键词 WEB攻击 xss攻击 SQL注入 Webshell攻击

下载PDF 职称材料

基于贝叶斯网络及STRIDE模型的XSS风险分析

17

作者 周鋆 符鹏涛 《指挥与控制学报》 CSCD 北大核心 2024年第1期38-46,共9页

贝叶斯网络因能够对事件进行建模并给出紧凑的概率表示,被广泛地用在风险分析上。针对XSS攻击,基于STRIDE威胁模型构建贝叶斯网络结构模型,并通过专家经验和排序节点获取节点先验概率,在此基础上采用拒绝性采样算法得到数据集,进而学习... 贝叶斯网络因能够对事件进行建模并给出紧凑的概率表示,被广泛地用在风险分析上。针对XSS攻击,基于STRIDE威胁模型构建贝叶斯网络结构模型,并通过专家经验和排序节点获取节点先验概率,在此基础上采用拒绝性采样算法得到数据集,进而学习贝叶斯网络参数。利用贝叶斯网络推理计算Web系统遭受XSS攻击的风险,找到弱点以加强相应的防护措施,实现积极防御。 展开更多

关键词 跨站脚本攻击xss 贝叶斯网络 STRIDE威胁分类 排序节点 拒绝性采样

下载PDF 职称材料

JSP在线购物系统的安全性分析 被引量：2

18

作者 刘文戈 景红 《计算机应用》 CSCD 北大核心 2009年第B12期100-102,107,共4页

结合JSP在线购物系统开发,重点分析了其安全性。通过JSP系统代码的分析和研究,阐述了JSP系统存在的跨站脚本(XSS)、搜索注入、文本输入柜注入等安全问题的原理和分类,并通过对实例的分析和实验测试,提出了各种安全漏洞的防御策略。

关键词 跨站脚本 搜索 安全性 安全漏洞 文本输入框 SQL注入

下载PDF 职称材料

HTML5客户端存储的安全性探析 被引量：1

19

作者 张坤 吕义正 《黄山学院学报》 2014年第5期13-15,共3页

随着HTML5的逐步流行,其对于客户端存储的更新设计给了程序设计者更多的数据存放的方法与手段。但客户端存储由于无法完全被服务器端控制的特性,也对数据的安全性造成了影响。通过对各种存储方式以及安全隐患的测试分析,探讨在系统设计... 随着HTML5的逐步流行,其对于客户端存储的更新设计给了程序设计者更多的数据存放的方法与手段。但客户端存储由于无法完全被服务器端控制的特性,也对数据的安全性造成了影响。通过对各种存储方式以及安全隐患的测试分析,探讨在系统设计过程中应当如何安全的使用客户端数据库技术对原有系统进行优化配置。 展开更多

关键词 HTML5 客户端存储 跨站脚本攻击(xss) DNS欺骗

下载PDF 职称材料