-
题名XSS漏洞研究综述
被引量:7
- 1
-
-
作者
孙伟
张凯寓
薛临风
徐田华
-
机构
中山大学电子与信息工程学院
信息技术教育部重点实验室(中山大学)
中山大学数据科学与计算机学院
轨道交通控制与安全国家重点实验室(北京交通大学)
-
出处
《信息安全研究》
2016年第12期1068-1079,共12页
-
基金
澳门科技发展基金项目(097/2013/A3)
轨道交通控制与安全国家重点实验室(北京交通大学)开放课题基金项目(RCS2016K007)
-
文摘
跨站脚本(cross-site scripting,XSS)是一种常见的针对Web应用程序安全漏洞的攻击.恶意用户利用漏洞将恶意脚本注入网页之中,当用户浏览该网页时,便会触发脚本,导致攻击行为发生.由于HTML编码方案的高度灵活性,攻击者可通过多种方法绕过输入验证过滤器,导致XSS难以被发现和预防.为了有效减少XSS造成的危害损失,依照XSS的分类,对反射型XSS、存储型XSS和基于DOM的XSS特征及原理进行了细致的分析和对比,并对数量庞大、形态各异的XSS攻击向量进行归纳和梳理,通过举例对C∞kie窃取、会话劫持、钓鱼欺骗等XSS常见利用方式进行说明,并对常用的XSS防御手段进行整理,最后对静态分析、动态分析、机器学习等主流的XSS漏洞自动化检测方法进行总结.
-
关键词
WEB安全
跨站脚本
攻击向量
漏洞利用
漏洞检测方法
-
Keywords
Web security
XSS(cross-site scripting)
attack vectors
exploit
vulnerability detection methods
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名智能合约漏洞检测技术研究综述
被引量:2
- 2
-
-
作者
孙家泽
余盼盼
王小银
张斌
-
机构
西安邮电大学计算机学院
-
出处
《西安邮电大学学报》
2020年第5期1-9,32,共10页
-
基金
陕西省重点研发计划项目(2020GY-010)
西安市科技计划项目(2019218114GXRC017CG018-GXYD17.10)。
-
文摘
区块链技术已经进入了以智能合约为标志的区块链2.0时代,频发的智能合约安全问题给区块链生态带来了严重的损失。通过对比不同的智能合约漏洞检测方法与检测工具存在的安全漏洞问题,总结出13种常见漏洞检测项。通过讨论5种主流的智能合约漏洞检测方法与相应的漏洞检测工具,对比总结5种漏洞检测工具针对13种漏洞检测项的检测情况。对比分析3种漏洞检测工具对于200个测试合约的检测结果,得出模糊测试检测方法简单高效并且不会产生误报。最后,针对检测结果展望智能合约漏洞检测技术的未来研究方向,并给出针对现有漏洞检测方法的改进思路,从而利于提高智能合约漏洞检测效率。
-
关键词
区块链安全
智能合约
漏洞检测工具
-
Keywords
blockchain security
smart contracts
vulnerability detection methods
-
分类号
TP311.5
[自动化与计算机技术—计算机软件与理论]
-
