期刊导航
期刊开放获取
cqvip
退出
期刊文献
+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
检索
高级检索
期刊导航
共找到
2
篇文章
<
1
>
每页显示
20
50
100
已选择
0
条
导出题录
引用分析
参考文献
引证文献
统计分析
检索结果
已选文献
显示方式:
文摘
详细
列表
相关度排序
被引量排序
时效性排序
一种基于行为特征的入侵检测方法
1
作者
李茹
翟书颖
+1 位作者
保慧琴
智永锋
《信息技术》
2022年第6期39-43,共5页
为提高面向业务逻辑漏洞的检测准确度和效率,提出了一种基于行为特征的测试方法。利用测试账号爬取行为链路,分析链路内请求序列、参数属性、请求参数、响应参数、参数间关系等行为特征挖掘出业务逻辑测试要素,然后利用测试要素检测是...
为提高面向业务逻辑漏洞的检测准确度和效率,提出了一种基于行为特征的测试方法。利用测试账号爬取行为链路,分析链路内请求序列、参数属性、请求参数、响应参数、参数间关系等行为特征挖掘出业务逻辑测试要素,然后利用测试要素检测是否存在入侵。实验和分析结果表明,该方法可以有效地检测无效身份认证、无效访问控制和敏感信息泄露等漏洞。
展开更多
关键词
业务
逻辑
漏洞
行为特征
行为链路
测试要素
入侵检测方法
下载PDF
职称材料
基于Fuzzing技术的云数据泄露漏洞检测
被引量:
1
2
作者
姜百合
傅建明
+2 位作者
王应军
王亚丽
黄坚伟
《武汉大学学报(理学版)》
CAS
CSCD
北大核心
2018年第2期115-120,共6页
目前Web应用上存在接口枚举、越权与敏感信息回传三种逻辑漏洞,在SaaS服务模式的背景下,攻击者利用这些漏洞可以非法获取云端数据,给厂商和用户造成损失.主流的检测方案未实现自动化,依赖测试者经验的渗透测试,难以全面覆盖复杂的Web应...
目前Web应用上存在接口枚举、越权与敏感信息回传三种逻辑漏洞,在SaaS服务模式的背景下,攻击者利用这些漏洞可以非法获取云端数据,给厂商和用户造成损失.主流的检测方案未实现自动化,依赖测试者经验的渗透测试,难以全面覆盖复杂的Web应用业务逻辑.本文分析云数据服务Web应用的业务逻辑,建立抽象三种逻辑漏洞的威胁模型,设计漏洞Fuzzing检测算法和系统框架,并实现了原型系统.实验结果表明,本文方案可检测造成云数据泄露的三种逻辑漏洞,与人工经验相结合,实现自动化的渗透测试.测试真实Web应用,发现了未被修补的三种逻辑漏洞,并已经得到厂商确认,提升了漏洞挖掘的覆盖度.
展开更多
关键词
WEB应用安全
信息泄露
FUZZING测试
业务
逻辑
漏洞
原文传递
题名
一种基于行为特征的入侵检测方法
1
作者
李茹
翟书颖
保慧琴
智永锋
机构
西安明德理工学院
西北工业大学自动化学院
出处
《信息技术》
2022年第6期39-43,共5页
基金
陕西省教育厅专项科研计划项目(21JK0813)
西安明德理工学院科研基金项目(2020XY01L03)
国家自然科学基金面上项目(61671379)。
文摘
为提高面向业务逻辑漏洞的检测准确度和效率,提出了一种基于行为特征的测试方法。利用测试账号爬取行为链路,分析链路内请求序列、参数属性、请求参数、响应参数、参数间关系等行为特征挖掘出业务逻辑测试要素,然后利用测试要素检测是否存在入侵。实验和分析结果表明,该方法可以有效地检测无效身份认证、无效访问控制和敏感信息泄露等漏洞。
关键词
业务
逻辑
漏洞
行为特征
行为链路
测试要素
入侵检测方法
Keywords
business logic vulnerability
behavior characteristics
behavior link
test element
intrusion detection method
分类号
TP393 [自动化与计算机技术—计算机应用技术]
下载PDF
职称材料
题名
基于Fuzzing技术的云数据泄露漏洞检测
被引量:
1
2
作者
姜百合
傅建明
王应军
王亚丽
黄坚伟
机构
武汉大学空天信息安全与可信计算教育部重点实验室
武汉大学计算机学院
[
出处
《武汉大学学报(理学版)》
CAS
CSCD
北大核心
2018年第2期115-120,共6页
基金
国家自然科学基金资助项目(U1636107,61373168,61202387)
文摘
目前Web应用上存在接口枚举、越权与敏感信息回传三种逻辑漏洞,在SaaS服务模式的背景下,攻击者利用这些漏洞可以非法获取云端数据,给厂商和用户造成损失.主流的检测方案未实现自动化,依赖测试者经验的渗透测试,难以全面覆盖复杂的Web应用业务逻辑.本文分析云数据服务Web应用的业务逻辑,建立抽象三种逻辑漏洞的威胁模型,设计漏洞Fuzzing检测算法和系统框架,并实现了原型系统.实验结果表明,本文方案可检测造成云数据泄露的三种逻辑漏洞,与人工经验相结合,实现自动化的渗透测试.测试真实Web应用,发现了未被修补的三种逻辑漏洞,并已经得到厂商确认,提升了漏洞挖掘的覆盖度.
关键词
WEB应用安全
信息泄露
FUZZING测试
业务
逻辑
漏洞
Keywords
Web application security
information leak
Fuzzing test
business logic vulnerabilities
分类号
TP309.2 [自动化与计算机技术—计算机系统结构]
原文传递
题名
作者
出处
发文年
被引量
操作
1
一种基于行为特征的入侵检测方法
李茹
翟书颖
保慧琴
智永锋
《信息技术》
2022
0
下载PDF
职称材料
2
基于Fuzzing技术的云数据泄露漏洞检测
姜百合
傅建明
王应军
王亚丽
黄坚伟
《武汉大学学报(理学版)》
CAS
CSCD
北大核心
2018
1
原文传递
已选择
0
条
导出题录
引用分析
参考文献
引证文献
统计分析
检索结果
已选文献
上一页
1
下一页
到第
页
确定
用户登录
登录
IP登录
使用帮助
返回顶部
