检索结果-内蒙古大学图书馆

作者：仇宇琛北京交通大学

学位级别：硕士

互联网的广泛应用在给用户带来便利的同时也带来许多问题,近年来出现多种多样的web攻击方式,也出现了很多相应的网络渗透检测和评估方法。为提升web整体安全性,整合网络渗透检测和评估具有很重要的实际应用价值。本文首先研究了渗透测... 详细信息

互联网的广泛应用在给用户带来便利的同时也带来许多问题,近年来出现多种多样的web攻击方式,也出现了很多相应的网络渗透检测和评估方法。为提升web整体安全性,整合网络渗透检测和评估具有很重要的实际应用价值。本文首先研究了渗透测试主要涉及的技术,总结出渗透测试的方法、特点以及存在的缺陷。其次,在利用多种渗透测试技术对网站进行测试得到检测结果的基础上,设计了基于自动化集成测试系统的渗透测试和安全评估方案。进一步对安全评估的核心算法进行研究,综合考虑了系统维护人员对目标的事先预估和测试完毕后测试人员对目标的评估两种因素,提出了一种基于攻防对弈结果预估的web安全评估算法和评估流程。最后,实现了一个自动化渗透测试集成系统,并将系统的测试结果与单种渗透测试技术得到的结果进行了详细的分析和比对。实验表明,在不破坏测试系统的前提下,本文提出的渗透测试方法能够有效探测出系统存在的安全问题及漏洞,自动化测试方法有效、可行。web安全评估结果与实际测试结果一致,表明本文所提出的安全评估方法准确,有效。论文设计并实现的自动化渗透测试集成系统能够满足论文中提出的主要目标和网站对一般常规性,普遍性的安全攻击的防护要求,提出的评估算法在评分上更加细化和精确,更具参考性。

关键词：渗透测试安全评估自动化渗透测试集成系统 web安全评估算法

来源：评论

学校读者我要写书评

暂无评论

web安全渗透测试研究

Web安全渗透测试研究

引用

作者：蒲石西安电子科技大学

学位级别：硕士

随着Internet的发展,web应用已经成为许多公司与外界进行业务往来的通用渠道。web技术广泛部署于目前的信息系统中。但对于恶意攻击者来说,这为他们提供了两个机会:第一,http和https通信流通常是能够正常通过防火墙和过滤技术的信息流... 详细信息

随着Internet的发展,web应用已经成为许多公司与外界进行业务往来的通用渠道。web技术广泛部署于目前的信息系统中。但对于恶意攻击者来说,这为他们提供了两个机会:第一,http和https通信流通常是能够正常通过防火墙和过滤技术的信息流。第二个机会在于不断增加的web漏洞。针对不断出现的web安全问题,本文着重研究了危害web应用程序的两种主要漏洞,SQL注入和XSS漏洞,并研究了web安全渗透测试技术。本文的主要工作有以下几方面: 1)通过搭建本地分析环境,深入分析了SQL注入和XSS漏洞的形成原因;2)通过Wireshark抓包,对现有一些SQL注入检测工具进行分析比较,分析了不同工具对SQL注入漏洞检测的方法和检测字符;3)根据分析的SQL注入和XSS漏洞的检测方法,对一些实际网站和TRP项目相关网站进行了渗透测试和风险评估,发现了一些危害较大的漏洞,从而说明设计的方法在一定程度上切实有效。

关键词： web安全渗透测试 SQL注入 XSS

来源：评论

学校读者我要写书评

暂无评论

web安全登录的研究与实现

Web安全登录的研究与实现

引用

作者：刘潇谊西安工业大学

学位级别：硕士

随着互联网的快速发展,特别是“互联网+”概念的提出,加快了 web在社会各个领域的应用,而web登录安全作为是整个web应用系统安全的首要环节,其作用是至关重要的。传统的web登录方案通常采用静态口令,静态口令具有在一定的时间间隔内是... 详细信息

随着互联网的快速发展,特别是“互联网+”概念的提出,加快了 web在社会各个领域的应用,而web登录安全作为是整个web应用系统安全的首要环节,其作用是至关重要的。传统的web登录方案通常采用静态口令,静态口令具有在一定的时间间隔内是固定不变的、可重复使用的特点。静态口令身份认证方式有着简单、易用并且具备一定安全性的优点,因此得到了广泛的应用。但是随着网络的复杂化、攻击手段的多样化,静态口令技术的安全缺陷也越来越明显。为了解决静态口令的安全问题,人们提出了 OTP技术,即一次一密的认证方式。在用户每次的登录信息中加入动态变化的因素,使得每次传输的用户口令各不相同,从而提高登录过程安全性。然而目前仅仅依靠OTP技术已经不能满足登录安全性的需要,web登录安全需要一个完整的安全登录方案来解决登录过程中存在安全问题。本文通过对web登录过程中存在的安全漏洞、风险进行研究分析,并结合目前市场存在的动态身份认证方案,提出把web登录过程分为六个模块,分别是:客户端认证服务器模块、用户登录模块、传输模块、验证模块、口令存储模块和智能识别用户身份模块。每个模块对应解决web登录过程中出现在不同阶段的安全问题。根据各个模块的漏洞分析和安全需求提出一种以挑战/应答认证机制的方式来实现客户端认证服务器,以哈希异或算法实现对口令加密、传输,以AES算法来实现对口令加密存储,以web日志挖掘智能识别用户身份进行二次用户身份认证的安全登录方案。其中为了防止攻击者通过窥探或者其他方式获得口令假冒用户登录,采取通过web日志挖掘的方式建立智能识别用户身份功能模块。该模块功能根据用户日常行为,智能识别用户登录身份信息。该方案分析了登录过程各个模块中存在的安全问题,给出解决这些安全问题的方法。实现了无需使用额外设备满足一般网站安全需求。

关键词： web安全安全登录哈希算法 web日志挖掘 AES算法

来源：评论

学校读者我要写书评

暂无评论

web安全加固系统的设计与实现

Web安全加固系统的设计与实现

引用

作者：米昂中南大学

学位级别：硕士

摘要：随着web技术的发展,web应用面临着愈发严重的安全问题,尤其是SQL注入式攻击与网页篡改攻击,正严重威胁着web应用的数据隐私性与服务可用性。本文首先针对校园网管理中提出的实际需求,提出一种web安全加固方案。该方案采用了分布... 详细信息

摘要：随着web技术的发展,web应用面临着愈发严重的安全问题,尤其是SQL注入式攻击与网页篡改攻击,正严重威胁着web应用的数据隐私性与服务可用性。本文首先针对校园网管理中提出的实际需求,提出一种web安全加固方案。该方案采用了分布式的客户端部署方式,并为管理员提供了统一的管理与配置平台,使其更适合于为服务器群组或大量离散状态的web服务器提供统一的安全加固服务。基于该解决方案,本文设计并实现了安全加固系统,并将其正式部署在校园网环境中。针对SQL注入式攻击,本文提出了一种多方位的检测防御方案。该方案基于HTTP请求类型进行分类检测,改进了使用关键字或规则进行过滤的方法,并结合了HTTP异常响应屏蔽、攻击源IP动态拦截机制。运用该方案,在详细分析Tomcat服务器数据处理流程的基础上,本文设计并实现了Tomcat服务器上的SQL注入防御模块。分析与测试结果表明,与单纯使用关键字或规则进行过滤的SQL注入检测方案相比,该方案可以有效降低检测漏报率与误报率,并避免了web应用敏感信息的泄露。针对网页篡改攻击,本文结合Linux操作系统特性,设计并实现了一种对篡改过程进行全面监测的网页防篡改方案。该方案通过拦截系统调用、控制文件防修改位、事件触发式预警三种防御机制,在篡改发生前、进行中、发生后三个关键控制点实现了对网页文件与目录的安全防护。同时,本文在设计与实现中也考虑了网页防篡改程序自身的安全性,论述了相关的关键技术,并对其安全性进行了分析。分析与测试结果表明,该方案具有防护能力强、防护性能消耗低、部署简便的特点。通过实验室环境的测试和在校园网上的部署测试,表明该加固方案能有效地防御SQL注入攻击,防止被保护网页文件的篡改,并保护自身程序安全,同时对web应用服务质量的影响较小。

关键词： web安全 Tomcat SQL注入防御 Linux网页防篡改

来源：评论

学校读者我要写书评

暂无评论

web安全检测技术研究与方案设计

Web安全检测技术研究与方案设计

引用

作者：郑光年北京邮电大学

学位级别：硕士

Internet发展到今天,基于web和数据库架构的应用系统已经逐渐成为主流,广泛应用于企业内部和外部的业务系统中。在网络高速公路不断拓展、电子政务、电子商务和各种基于web应用的业务模式不断成熟的今天,却有报道称全球电子商务的发展... 详细信息

Internet发展到今天,基于web和数据库架构的应用系统已经逐渐成为主流,广泛应用于企业内部和外部的业务系统中。在网络高速公路不断拓展、电子政务、电子商务和各种基于web应用的业务模式不断成熟的今天,却有报道称全球电子商务的发展正在下滑。究其原因,根源在于近两年关于网络钓鱼、SQL注入和跨站脚本等带来严重后果的攻击事件的频频报道,严重影响了人们对web应用的信心。根据Gartner的报告,目前网络中常见的攻击已经由传统的系统漏洞攻击逐渐发展演变为对应用自身弱点的攻击,其中最常见的攻击技术就是针对web应用的SQL注入和钓鱼攻击。基于web应用的攻击,可以给提供或接受web应用服务者造成很多伤害。根据Gattner的数据分析,80%基于web的应用或多或少都存在安全问题,其中很大一部分是相当严重的问题。web应用系统的安全性越来越引起人们的高度关注,web应用能否健康发展取决于我们是否能够有效的阻挡此类攻击,前提是我们必须事前发现web所存在的弱点,并且修复这些弱点。本文在分析了国内、外web安全技术的基础上,深入研究了其他web安全检测工具的优缺点,对web安全检测系统的潜在用户进行了访谈和市场调研,并编写了相应的功能需求,尽量做到功能强大并且易于使用,生成的各种报告组成也做了细致的划分,针对脆弱性和威胁进行了对照比对工作。然后根据现有的功能需求编写了方案设计文档,在方案设计中对功能需求中每个功能模块进行了设计工作,并在此指导下完成系统。为此制作出一套自动化的web安全检测系统,帮助其在web安全检测工作中自动化代替手工检测的需求,从而降低大量的人员成本,有效的协助B/S应用的发展。

关键词： web安全 SQL注入安全检测技术扫描工具自动注入

来源：评论

学校读者我要写书评

暂无评论

web安全与入侵检测技术的研究

Web安全与入侵检测技术的研究

引用

作者：杨樱河南理工大学

学位级别：硕士

如今World Wide web已经渗入到人们生活的方方面面,它以惊人的速度发展着,有史以来还没有任何一样东西可以和它的发展以及所带来的便利媲美。随着web服务的不断流行,它所面临的安全问题也日益突显出来。很多恶意的黑客都将目光放在这些... 详细信息

如今World Wide web已经渗入到人们生活的方方面面,它以惊人的速度发展着,有史以来还没有任何一样东西可以和它的发展以及所带来的便利媲美。随着web服务的不断流行,它所面临的安全问题也日益突显出来。很多恶意的黑客都将目光放在这些“衣着光鲜”的web应用程序上,因为从这些web服务器或是客户端上可以获得更多他们感兴趣的信息。这使得那些维护web应用程序的人员备加苦恼。由此看来除了系统本身的安全漏洞之外,web应用程序暴露出来的安全问题也不可小视。本文根据web的体系结构,讨论了服务器端的应用程序和数据库的安全问题,以及客户端的常见攻击方法。多方面详细地研究和分析了web攻击行为,总结了攻击特点,分析了攻击方法,说明了web攻击的危害性。对一些攻击行为给出了一些简单的防御手段。结合对入侵检测系统发展方向和web攻击方式的研究,本文在开源入侵检测系统Snort的基础上设计了一种web入侵检测系统模型。该系统模型根据公共入侵检测框架(CIDF)标准以Snort为设计基础设计的,主要由数据收集模块、攻击检测模块、报警与事件响应模块、事件数据库以及控制台五个功能模块组成。给出了各功能模块的详细设计说明。并针对Snort的规则树的不足做了相应的改进,并针对现有入侵检测系统不能很好地检测未知攻击的缺陷,在入侵检测分析中引入神经网络专家系统的分析方法。本文还在实际的web环境中采用Snort作为入侵检测系统,进行了实际地安装部署,针对当前危害较大的SQL注入攻击和跨站点脚本攻击编写相应的检测规则。并结合正在开发实际web应用系统给出web应用程序中防御web攻击的方法和功能代码。

关键词： web安全入侵检测系统 SQL注入跨脚本站点攻击

来源：评论

学校读者我要写书评

暂无评论

XML安全技术及一个新的基于XML的web安全模型

引用

计算机科学 2004年第B09期31卷 95-97,125页

作者：陈越任年民兰巨龙信息工程大学，郑州450002

简要介绍了XML加密、XML签名、密钥管理及访问控制等几种主要的XML安全技术，提出了一种基于XML应用的安全web模型。

关键词： XML加密 web安全访问控制密钥管理签名安全技术模型

来源：评论

学校读者我要写书评

暂无评论

一种基于EAP-SAKE的分层web安全模型

引用

计算机工程与应用 2008年第18期44卷 97-98页

作者：张建伟贺蕾郑州轻工业学院计算机与通信工程学院郑州450002

随着web服务技术的应用与发展,web安全问题日益突出。针对web服务应用模式,提出了一种分层web安全模型,以及基于EAP-SAKE的实现该模型的安全机制。该模型具有灵活性和可扩展性,降低了系统的复杂性,并提供了不同层次的密钥以供使用,满足... 详细信息

随着web服务技术的应用与发展,web安全问题日益突出。针对web服务应用模式,提出了一种分层web安全模型,以及基于EAP-SAKE的实现该模型的安全机制。该模型具有灵活性和可扩展性,降低了系统的复杂性,并提供了不同层次的密钥以供使用,满足了web服务的安全需求。

关键词：分层模型 EAP—SAKE 密钥 web安全

来源：评论

学校读者我要写书评

暂无评论

基于子项集时间序列的模式挖掘及其在web安全上的应用

引用

小型微型计算机系统 2012年第9期33卷 1903-1907页

作者：文晟贾维嘉周维中南大学信息与工程学院长沙410083

针对子项集时间序列提出一种模式挖掘的数学模型.此模型计算并更新子项的平均频率,并以模式考察时间阈值为周期,计算当前实时频率矢量和模式集中现有实时频率矢量的皮尔松相关性.如果相关系数大,则说明当前模式已经存在于模式集中;如果... 详细信息

针对子项集时间序列提出一种模式挖掘的数学模型.此模型计算并更新子项的平均频率,并以模式考察时间阈值为周期,计算当前实时频率矢量和模式集中现有实时频率矢量的皮尔松相关性.如果相关系数大,则说明当前模式已经存在于模式集中;如果相关系数小,则说明当前模式是一个新模式,继而加入模式集.此过程持续运行,直至当模式集趋于稳定.另外,本文考察了模式之间的顺序关系,即模式之间的模式.通过设置一个窗口寄存器,并在模式序列矩阵中的对应位置计数加1,模型可以计算出任两个模式之间顺序的支持度和信任度.此模型关注的是提取出子项集的模式、子项集模式之间的模式.此外,通过调节考察时间的阈值,此模型也能提取出子项集模式之中的模式.在实验中,通过模拟子项集序列,我们证明了理论模型的有效性和普适性.结合实践,运用此模型到web安全上,通过对新浪门户网站的考察和检验,此模型对于防御web异常问题非常高效.

关键词：子项集时间序列模式挖掘 web安全

来源：评论

学校读者我要写书评

暂无评论

用行为学方法研究web安全

用行为学方法研究Web安全

引用

作者：杨可新吉林大学

学位级别：博士

web服务器正在成为各种重要信息汇集和分发的中枢,自然也成为网络攻击的首选目标.已经发生的重大网络安全事件,绝大多数都是针对web服务器进行的.通过攻击web服务器,入侵者可以获取大量重要的保密信息和系统的控制权,并可借助这个跳板,... 详细信息

web服务器正在成为各种重要信息汇集和分发的中枢,自然也成为网络攻击的首选目标.已经发生的重大网络安全事件,绝大多数都是针对web服务器进行的.通过攻击web服务器,入侵者可以获取大量重要的保密信息和系统的控制权,并可借助这个跳板,发动对其它目标的攻击.web服务的普遍性和重要性,使得web安全成为网络安全中极为重要的一环.该文运用行为科学的方法对web安全问题进行了研究,主要侧重于以下几个方面:1)根据行为科学和计算机安全的特点,提出了运用行为科学的方法研究计算机安全问题,讨论了研究的内容和方法.2)研究了web服务器实现的协议兼容性问题,提出了使用\"刺激-反应\"的行为模型研究兼容性问题的方法,设计了一种测试web服务器兼容性的工具――WSPCT.3)介绍了web服务器普遍采用banner信息隐蔽的方法,提出利用行为特征来识别服务器真实身份的web服务器映射方法,设计了一个web服务器映射工具――WSMT.4)讨论了侦察活动对系统安全的影响.提出了防风墙的概念,并介绍了一个web站点的防风墙原型系统――WSW2,描述了利用行为控制来防范侦察的技术.5)介绍了一个通过模拟攻击者的行为方式,评估web服务器安全的web服务器安全评估工具――webprobe,它利用攻击验证的方法,有效地降低了安全评估的误判率.6)提出学习攻击者的攻击思路和策略,用启发式策略检测口令安全性.它针对中国人的口令选择特点,模拟攻击者的启发式破解思路,可以很好地检测口令的安全性.

关键词： web服务器 web安全行为科学协议兼容性服务映射安全评估口令安全信息搜集行为特征

来源：评论

学校读者我要写书评

暂无评论

建议与咨询留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

时间限定

文献类型

馆藏选择

核心期刊

语言

文献类型

帮助

文字说明：

检索规则说明：

检索范例：

分类表

所选分类

限定检索结果

文献类型

馆藏范围

日期分布

学科分类号

主题

机构

作者

语言

请选择保存的检索档案：

请选择收藏分类：

通借通还

建议与咨询 留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

时间限定

文献类型

馆藏选择

核心期刊

语言

文献类型

帮助

文字说明：

检索规则说明：

检索范例：

分类表

所选分类

限定检索结果

文献类型

馆藏范围

日期分布

学科分类号

主题

机构

作者

语言

请选择保存的检索档案： 新增检索档案 确定 取消

请选择收藏分类： 新增自定义分类 确定 取消

通借通还

建议与咨询留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

请选择保存的检索档案：

请选择收藏分类：