检索结果-内蒙古大学图书馆

作者：高睿北京大学

学位级别：硕士

由于web应用已经成为在Internet上最为广泛的应用之一,因此,针对web应用的攻击行为也随之越来越多.为了避免这些攻击行为给web应用带来的危害,很多针对web应用的安全保护措施被设计出来并且应用到实际的系统中.但是,由于保护web客户端... 详细信息

由于web应用已经成为在Internet上最为广泛的应用之一,因此,针对web应用的攻击行为也随之越来越多.为了避免这些攻击行为给web应用带来的危害,很多针对web应用的安全保护措施被设计出来并且应用到实际的系统中.但是,由于保护web客户端安全的重要性一直没有得到人们足够的重视,因此与之相关的研究工作以及具体在实际应用中的实现并没有开展起来.虽然大部分web客户端产品即浏览器都或多或少的实现了一些安全功能,但是由于这些实现还存在着许多问题,因此它们并没有起到应起的作用.该文首先介绍了web应用领域内存在的攻击技术和手段,并分析了对这些攻击的防范对策,阐明了在web客户端采取严格的安全设计的重要性.接下来该文以现有的web客户端安全措施的一种实现——保护IE浏览器安全的IE安全区域模型为例,首先对web客户端安全措施的设计思想进行了详细的介绍,然后论述了这种安全措施的局限性,并在它的基础上提出了一些改进意见.最后,该文将详细介绍在IE安全区域模型的基础上实现上述改进意见的具体细节.通过这个改进的IE安全区域模型,web用户可以在使用浏览器接受web应用时获得更高的安全性.

关键词： web应用安全浏览器安全 IE安全区域

来源：评论

学校读者我要写书评

暂无评论

PHP对象注入缺陷检测系统设计与实现

PHP对象注入缺陷检测系统设计与实现

引用

作者：刘益辰北京邮电大学

学位级别：硕士

目前互联网中接近八成的web应用服务使用PHP语言进行开发,当前web安全漏洞频出不穷,CVE平台近三年仍有每年近十例PHP对象注入漏洞。目前PHP漏洞静态检测方面主要有污点分析、深度学习等方式。污点分析依赖代码摘要会占用大量内存,造成... 详细信息

目前互联网中接近八成的web应用服务使用PHP语言进行开发,当前web安全漏洞频出不穷,CVE平台近三年仍有每年近十例PHP对象注入漏洞。目前PHP漏洞静态检测方面主要有污点分析、深度学习等方式。污点分析依赖代码摘要会占用大量内存,造成扫描效率低;机器学习方式只能进行黑白判定而无法实现漏洞代码的定位,挖掘结果信息反馈不足。针对当前漏洞挖掘方面存在的问题,本文就PHP对象注入类型漏洞进行了研究和分析,主要工作如下:(1)通过对2019-2021年CVE平台收录的对象注入类型漏洞进行案例研究和分析,总结出了该类漏洞相较于其他类型的漏洞具有基于面向对象编程同时高度依赖多文件联合分析的特点,并总结出3种漏洞利用模式。(2)基于总结的漏洞模式,提出了可定位的PHP对象注入漏洞检测算法,能够给出代码中PHP对象注入漏洞的具体位置。算法在实际漏洞案例中的扫描正确率约75%,误报率为10%。相较于Seay工具扫描方式有明显优势且能够发现更为深层的漏洞。(3)对象注入漏洞完整利用需要依赖利用链的挖掘,本文根据总结的利用链模式提出了一种PHP对象注入利用链检测方案。为了避免已有检测方法面临的占用内存大和扫描效率低的问题,提出了一种基于节点数据存储并检索的漏洞挖掘模式。方案在扫描内存占用优于已有检测方法算法,可以应对大规模工程文件的漏洞利用链挖掘工作。(4)为了实现自动化扫描,设计并实现了对象注入漏洞挖掘系统。支持分析人员自定义设定扫描范围,可视化详细反馈扫描结果以便于快速修复代码工程中的漏洞。

关键词： web应用安全静态分析漏洞扫描 PHP对象注入

来源：评论

学校读者我要写书评

暂无评论

网站漏洞扫描软件webSCAN的设计与实现

网站漏洞扫描软件WEBSCAN的设计与实现

引用

作者：李春元北京交通大学

学位级别：硕士

随着网络技术的快速发展,web应用在各个领域都得到广泛应用,但是伴随而来的是针对web应用的攻击事件频发。大量的web应用攻击不但给企业和用户造成巨大的经济损失,而且严重影响了企业的信誉,直接损害用户的切身利益。传统网络安全设备... 详细信息

随着网络技术的快速发展,web应用在各个领域都得到广泛应用,但是伴随而来的是针对web应用的攻击事件频发。大量的web应用攻击不但给企业和用户造成巨大的经济损失,而且严重影响了企业的信誉,直接损害用户的切身利益。传统网络安全设备只能从网络层面上对web应用系统进行保护,而不能解决由于web应用系统本身存在漏洞而引起的安全问题。本文针对网站web应用自身存在的漏洞问题,设计实现了一款简易高效的网站漏洞扫描软件webSCAN,它能够模拟黑客攻击网站的方式,向服务器发送具有特定漏洞检测特征的HTTP请求,根据响应的特征分析判断服务器存在的web应用安全漏洞。本文首先分析了web应用安全面临的严峻形势以及web应用漏洞检测技术的发展状况；接着描述了网络爬虫的关键技术,分析比较了常见类型漏洞的检测方法；在此基础上对网站漏洞扫描软件webSCAN的系统架构和系统流程进行设计,并阐述了系统各个子模块的详细设计与实现；然后设计了测试方案对webSCAN进行集成测试,并展示和分析了检测结果；最后总结了项目的完成情况以及下一步要开展的工作。其中,webSCAN的网络爬虫兼攻击模块、数据管理与分析模块、历史记录处理模块、以及检测报告生成模块均是由本人独立完成,界面模块和HTTP及URL分析处理模块是和项目组成员合作完成的。测试证明,webSCAN不但能够快速全面地对网站进行爬虫和注入攻击,而且能够满足项目对SQL注入、XSS攻击、整数溢出、URL重定向等常见类型漏洞的检测需求。目前,webSCAN已经被集成到TOPIDP V5版本中,运行稳定而且性能良好。

关键词：漏洞扫描漏洞检测 web应用安全

来源：评论

学校读者我要写书评

暂无评论

基于渗透测试的web应用漏洞检测技术研究

基于渗透测试的Web应用漏洞检测技术研究

引用

作者：净山北京邮电大学

学位级别：硕士

web应用已经融入了广大网民的日常生活,它们使用方式便捷而且功能丰富。web2.0的出现,推动了互联网又一次革命性发展。随着web2.0的发展,web应用的安全漏洞问题正在逐渐由传统的安全技术漏洞向业务逻辑型漏洞转变。web应用是一个业务逻... 详细信息

web应用已经融入了广大网民的日常生活,它们使用方式便捷而且功能丰富。web2.0的出现,推动了互联网又一次革命性发展。随着web2.0的发展,web应用的安全漏洞问题正在逐渐由传统的安全技术漏洞向业务逻辑型漏洞转变。web应用是一个业务逻辑较为复杂的系统,其安全细节上的疏漏往往导致严重的安全问题,不仅影响用户正常使用web应用,甚至可能损害用户的个人利益。目前存在的商业或开源web应用安全扫描工具已经可以对web应用系统进行安全评估与漏洞检测,能够辅助渗透测试和系统维护人员显著降低web应用系统的安全风险。但是这些扫描工具仅对于web应用传统技术型安全漏洞有着很好的检测效果,对于web应用业务逻辑漏洞没有做到很好的覆盖。而对web应用的业务逻辑漏洞目前采取的还是人工渗透测试的方式,不仅效率低下,而且难以投入到实际工程使用当中。本文从渗透测试方向就web应用的漏洞检测技术做了深入研究。试图结合自动化扫描检测系统工具和人工渗透测试的长处,提出既具备业务逻辑漏洞针对发掘能力,又具有较高发掘效率的web应用业务逻辑漏洞检测解决方案。围绕着上述研究主题,本文主要展开了以下研究及相关工作内容：调研了最新的web应用实现技术及其安全隐患,对国内外的web安全研究现状做了详尽了解；针对web应用的业务逻辑功能进行了大量的实际渗透测试,对业务逻辑漏洞形成的原因和检测方法进行了总结,并对部分检测方法进行了改进；对网络爬虫的实现技术做了仔细研究,设计实现了针对web应用漏洞检测的网络爬虫,以更好的辅助漏洞检测研究工作的进行；在上述研究的基础上,根据各种web应用业务逻辑漏洞的检测方法,使用脚本语言开发了各种漏洞的检测工具；为了方便用户的使用,在研究了基于web应用框架的开发技术之后,将之前开发出的漏洞检测工具以插件的形式集成为一个web应用漏洞检测系统。本文主要的创新之处在于结合了web应用漏洞扫描与人工渗透测试的优势,将自动化漏洞检测和web应用功能分析技术运用到web应用业务逻辑漏洞的检测当中。同时对面向漏洞检测的网络爬虫进行改进,在web应用链接爬取的基础上增加了页面内容分析匹配功能,通过分析进一步探明漏洞检测的切入点。为了验证检测系统的可用性,本文最后对漏洞检测系统的进行了实际测试。在对测试结果做了分析的基础上,肯定了系统的可用性和工作效率。

关键词： web应用安全渗透测试业务逻辑网络爬虫漏洞检测

来源：评论

学校读者我要写书评

暂无评论

网络攻击的智能精准检测方法与实践

引用

信息安全研究 2018年第5期4卷 440-446页

作者：林榆坚梁宁波北京安赛创想科技有限公司北京100083

网络安全新形势下,如何改变基于有限特征库来抵御变幻莫测的网络攻击的状况,成为新时代安全防御的主题.提高检测、监测和溯源能力攻击者的蛛丝马迹是当前唯一途径.针对高检测、监测和溯源能力,安赛创想科技提出了在Netflow和sFlow这2种... 详细信息

网络安全新形势下,如何改变基于有限特征库来抵御变幻莫测的网络攻击的状况,成为新时代安全防御的主题.提高检测、监测和溯源能力攻击者的蛛丝马迹是当前唯一途径.针对高检测、监测和溯源能力,安赛创想科技提出了在Netflow和sFlow这2种协议字段融合的前提下,通过智能算法集进行关联分析检测.该方法首先克服了单一网络协议的数据局限性的弊端,降低了网络数据存储量和运行主机的CPU负载率;其次运用智能算法集,精确判断出攻击行为;最后运用web应用攻击周期理念,将检出结果清晰展现.

关键词： web应用攻击周期关联分析关联规则网络流技术 web应用安全大数据

来源：评论

学校读者我要写书评

暂无评论

基于BiLSTM-Attention-CNN的XSS攻击检测方法

引用

贵州师范大学学报（自然科学版） 2022年第4期40卷 76-83页

作者：李克资徐洋张庆玲张思聪贵州师范大学贵州省信息与计算科学重点实验室贵州贵阳550001 贵州省公安厅-贵州师范大学大数据及网络安全发展研究中心贵州贵阳550001

在基于深度学习XSS检测的研究中,双向长短期记忆网络(BiLSTM)和CNN模型均无法区分输入特征信息中关键特征和噪音特征对模型效果的影响。针对这一问题,引入注意力机制,提出一种将BiLSTM和CNN相结合的XSS检测模型。首先利用BiLSTM提取XSS... 详细信息

在基于深度学习XSS检测的研究中,双向长短期记忆网络(BiLSTM)和CNN模型均无法区分输入特征信息中关键特征和噪音特征对模型效果的影响。针对这一问题,引入注意力机制,提出一种将BiLSTM和CNN相结合的XSS检测模型。首先利用BiLSTM提取XSS攻击载荷双向序列信息特征,然后引入注意力机制计算不同特征在XSS检测中的权重,最后将加权后的特征向量输入CNN提取局部特征。实验表明BiLSTM-Attention-CNN相比SVM、ADTree、AdaBoost机器学习算法分别提高了9.45%、7.9%和5.5%的准确率,相比单一的CNN、GRU、BiLSTM提高了检测精度,相比BiLSTM-CNN在保持检测精度的同时减短了5.1%收敛时间。

关键词： web应用安全 XSS CNN 双向长短期记忆网络注意力机制

来源：评论

学校读者我要写书评

暂无评论

拿什么拯救web时代的安全危机

引用

网络与信息 2011年第4期25卷 54-55页

作者：陈广成

随着基于web环境下的应用越来越普遍,企业在信息化进程中将多种应用架设在web平台上。这些应用的功能和性能都不断完善和提高,然而对安全却没有足够重视。

关键词： web应用安全 web应用防火墙 WAF 应用层安全

来源：评论

学校读者我要写书评

暂无评论

跨站脚本攻击与防范研究

引用

无线互联科技 2023年第13期20卷 139-142,147页

作者：张雨锋王炅闽江学院计算机与控制工程学院福建福州350108

随着互联网的快速发展,越来越多的web应用漏洞不断涌现,这对互联网安全造成了很大的威胁。其中,跨站脚本漏洞在web漏洞中尤为常见,根据这一漏洞,跨站脚本攻击得以实现。这种攻击可以将恶意代码植入特定的网页,从而破坏系统的安全性。跨... 详细信息

随着互联网的快速发展,越来越多的web应用漏洞不断涌现,这对互联网安全造成了很大的威胁。其中,跨站脚本漏洞在web漏洞中尤为常见,根据这一漏洞,跨站脚本攻击得以实现。这种攻击可以将恶意代码植入特定的网页,从而破坏系统的安全性。跨站脚本攻击具有匿名性、易操作、难以检测等特点,是当前互联网上比较常见的攻击手段之一。文章基于web的环境探讨跨站脚本攻击问题,研究跨站脚本攻击的攻击原理,根据不同的类别分析漏洞成因,研究这类攻击的危害和影响,根据攻击特点提出相应的预防措施。

关键词： web应用安全跨站脚本攻击原理与漏洞成因

来源：评论

学校读者我要写书评

暂无评论

铁路设计企业管理信息化系统网络安全关键技术研究

引用

铁路计算机应用 2023年第11期32卷 68-72页

作者：刘峰韩寓中国铁路设计集团有限公司天津300308

针对企业管理信息化系统建设项目,通过风险评估方法全面地剖析存在的内、外部安全风险,以网络安全等级保护(简称:等级保护)2.0中“一个中心、三重防护”框架为指导,设计网络安全防御技术体系。在web应用安全、数据安全、威胁自动化响应... 详细信息

针对企业管理信息化系统建设项目,通过风险评估方法全面地剖析存在的内、外部安全风险,以网络安全等级保护(简称:等级保护)2.0中“一个中心、三重防护”框架为指导,设计网络安全防御技术体系。在web应用安全、数据安全、威胁自动化响应等方面开展关键技术研究,落实web应用安全防护技术、集中数据监测与审计技术、综合威胁分析及响应技术,满足等级保护和攻防实战要求。该安全防御技术体系已在某铁路设计企业得到应用,有效提升了企业管理信息化系统纵深防御能力。

关键词：网络安全等级保护 web应用安全数据安全威胁分析安全编排自动化响应(SOAR)

来源：评论

学校读者我要写书评

暂无评论

Docker Remote API未授权访问漏洞利用工具

引用

计算机系统应用 2017年第8期26卷 247-251页

作者：孙建蔡翔王潇夏雨潇国网安徽省电力公司电力科学研究院合肥230601 国网安徽省电力公司安庆供电公司安庆246003

通过分析Docker Remote API未授权访问漏洞的原理,设计并实现Docker Remote API未授权访问漏洞利用工具.该工具弥补了当前网络环境下此种漏洞检测工具的缺失,并提供批量检测功能,大大提高了漏洞检测效率,为漏洞修复等安全工作打下基础,... 详细信息

通过分析Docker Remote API未授权访问漏洞的原理,设计并实现Docker Remote API未授权访问漏洞利用工具.该工具弥补了当前网络环境下此种漏洞检测工具的缺失,并提供批量检测功能,大大提高了漏洞检测效率,为漏洞修复等安全工作打下基础,是一种效果好成本低的web应用安全防护方案.

关键词： Docker Remote API 漏洞利用漏洞检测 web应用安全

来源：评论

学校读者我要写书评

暂无评论

建议与咨询留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

时间限定

文献类型

馆藏选择

核心期刊

语言

文献类型

帮助

文字说明：

检索规则说明：

检索范例：

分类表

所选分类

限定检索结果

文献类型

馆藏范围

日期分布

学科分类号

主题

机构

作者

语言

请选择保存的检索档案：

请选择收藏分类：

通借通还

建议与咨询 留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

时间限定

文献类型

馆藏选择

核心期刊

语言

文献类型

帮助

文字说明：

检索规则说明：

检索范例：

分类表

所选分类

限定检索结果

文献类型

馆藏范围

日期分布

学科分类号

主题

机构

作者

语言

请选择保存的检索档案： 新增检索档案 确定 取消

请选择收藏分类： 新增自定义分类 确定 取消

通借通还

建议与咨询留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

请选择保存的检索档案：

请选择收藏分类：