基于PhantomJS的跨站脚本检测方法研究 被引量：1

1

作者 黄细标 《信息技术与信息化》 2024年第6期192-195,共4页

针对现有动态检测跨站脚本方法中存在传统爬虫不能爬取由JavaScript异步加载的网页数据等问题,提出一种基于PhantomJS的网络爬虫的跨站脚本检测方法,更加全面地获取网站页面与漏洞注入点。通过综合考虑字符串长度、字符类型等因素对攻... 针对现有动态检测跨站脚本方法中存在传统爬虫不能爬取由JavaScript异步加载的网页数据等问题,提出一种基于PhantomJS的网络爬虫的跨站脚本检测方法,更加全面地获取网站页面与漏洞注入点。通过综合考虑字符串长度、字符类型等因素对攻击向量进行了优化,以绕过服务端的过滤机制,并提出一种基于自动化攻击向量与合法向量生成算法,在攻击过程中动态生成攻击向量与合法向量,以提高挖掘漏洞的准确性。依据所提出的检测方法,实现了一款跨站脚本漏洞检测工具(PhantomJS-based XSS scanner,PXS),并通过实验结果验证了所提出的方法能够有效发掘漏洞。 展开更多

关键词 跨站脚本攻击 PhantomJS 攻击向量 合法向量

在线阅读 下载PDF 职称材料

Web前端组件中的跨站脚本攻击检测算法研究

2

作者 李新荣 谢绍敏 《现代电子技术》 北大核心 2024年第14期30-34,共5页

前端组件涉及多个数据流,包括用户输入、服务器返回的数据等,恶意脚本会隐藏在这些数据流中,且跨站脚本攻击存在变异性和不确定性,导致对其检测困难。因此,提出一种Web前端组件中的跨站脚本攻击检测算法。使用基于网络爬虫的Web前端组... 前端组件涉及多个数据流,包括用户输入、服务器返回的数据等,恶意脚本会隐藏在这些数据流中,且跨站脚本攻击存在变异性和不确定性,导致对其检测困难。因此,提出一种Web前端组件中的跨站脚本攻击检测算法。使用基于网络爬虫的Web前端组件跨站脚本信息抓取模型,抓取不重复冗余的Web前端组件跨站脚本信息;再将所抓取的脚本信息作为多分类支持向量机算法的训练样本。检测之前,在权威Web漏洞提交平台Exploit-db中,提取大规模变形跨站脚本信息样本,使用训练完毕的多分类支持向量机对抓取的脚本信息进行分类和检测。实验结果表明,所提算法对100条反射型跨站脚本攻击、50条存储型跨站脚本攻击、10条DOM型跨站脚本攻击的数据分类结果准确,且分类结果的样本分布中,攻击跨站脚本会按照攻击类型有序分布。 展开更多

关键词 Web前端组件 跨站脚本 攻击检测 网络爬虫 信息抓取 多分类支持向量机

在线阅读 下载PDF 职称材料

一种分布式的跨站脚本漏洞检测方法

3

作者 黄细标 《信息技术与信息化》 2024年第3期140-143,共4页

针对现有的跨站脚本检测技术尚未对漏洞注入点进行充分研究,且漏洞检测率相对较低的问题,为了提升检测效果,提出一种基于分布式系统的跨站脚本动态检测方法。通过综合考虑字符串长度、字符类型等因素对攻击向量进行了分类与变形,根据输... 针对现有的跨站脚本检测技术尚未对漏洞注入点进行充分研究,且漏洞检测率相对较低的问题,为了提升检测效果,提出一种基于分布式系统的跨站脚本动态检测方法。通过综合考虑字符串长度、字符类型等因素对攻击向量进行了分类与变形,根据输入点、输出点类型自动生成攻击向量与合法向量。采用基于PhantomJS的网络爬虫对网站进行更为全面的漏洞注入点分析,并使用Gearman来实现分布式任务调度,提高检测效率。采用PHP语言设计并实现了分布式自动化跨站脚本检测系统,进一步通过实验和其他相关工具对比分析,表明所提方法能够有效挖掘出Web应用中的跨站脚本漏洞。 展开更多

关键词 跨站脚本 动态检测 分布式系统 PhantomJS 攻击向量

在线阅读 下载PDF 职称材料

跨站脚本漏洞渗透测试技术 被引量：5

4

作者 王丹 顾明昌 赵文兵 《哈尔滨工程大学学报》 EI CAS CSCD 北大核心 2017年第11期1769-1774,共6页

为提升跨站脚本(XSS)漏洞检测方法的检测效果,本文提出了基于隐马尔科夫模型(HMM)的攻击向量动态生成和优化方法。采用决策树模型和代码混淆策略对攻击向量进行分类和变形,获得测试用攻击向量。使用注入点去重处理和探子技术去除一部分... 为提升跨站脚本(XSS)漏洞检测方法的检测效果,本文提出了基于隐马尔科夫模型(HMM)的攻击向量动态生成和优化方法。采用决策树模型和代码混淆策略对攻击向量进行分类和变形,获得测试用攻击向量。使用注入点去重处理和探子技术去除一部分不存在XSS漏洞的Web页面,避免重复检测不同Web页面中相同的漏洞注入点,减少测试阶段与Web服务器的交互次数;进一步采用XPath路径定位技术提高漏洞检测结果分析的效率。对比实验结果表明,本文提出的方法降低了响应时间和漏报率,提高了检测效率。 展开更多

关键词 跨站脚本漏洞 渗透测试 隐马尔科夫模型 攻击向量 注入点

在线阅读 下载PDF 职称材料

跨站脚本攻击及防范方法研究 被引量：3

5

作者 刘建亮 乔兴华 《科学技术创新》 2020年第10期137-138,共2页

随着人们网络安全意识的逐渐提升,对网站安全以及个人隐私的重视度也逐渐提升。在目前的网站安全管理中,经常会有人利用跨站脚本来对网站进行攻击,并从中获取网站数据以及用户信息。跨站脚本攻击属于一种危害网络健康的行为,给网络环境... 随着人们网络安全意识的逐渐提升,对网站安全以及个人隐私的重视度也逐渐提升。在目前的网站安全管理中,经常会有人利用跨站脚本来对网站进行攻击,并从中获取网站数据以及用户信息。跨站脚本攻击属于一种危害网络健康的行为,给网络环境带来了一定的影响,特别是对于一些特殊网站讲来,如果受到跨站脚本攻击,会给网站造成严重的数据泄露事故。跨站脚本攻击有多种不同的类型,相关技术人员需要根据不同的攻击类型来设定相应的防范方法。阐述了跨站脚本攻击的概念,分析跨站脚本攻击的类型以及触发机制,并深入探讨了跨站脚本攻击的有效防范方法,确保网络环境的安全性。 展开更多

关键词 跨站脚本 攻击 防范方法 研究

在线阅读 下载PDF 职称材料

基于社交网络的跨站脚本攻击分析

6

作者 杨波 闫丽丽 《成都信息工程学院学报》 2014年第3期268-272,共5页

随着中国网络的快速发展和社交网络的迅速流行,除了给人们的生活带来更多的便利之外,也带来了诸如垃圾信息泛滥、个人隐私泄露和钓鱼网站横行等安全问题,因此对网络安全的研究也变得愈加重要。在分析几种常见的Web攻击方法基础上,将跨... 随着中国网络的快速发展和社交网络的迅速流行,除了给人们的生活带来更多的便利之外,也带来了诸如垃圾信息泛滥、个人隐私泄露和钓鱼网站横行等安全问题,因此对网络安全的研究也变得愈加重要。在分析几种常见的Web攻击方法基础上,将跨站脚本攻击与钓鱼网络攻击结合,并演示了其攻击的过程及在社交网络中的传播。而在当前人们利用网络进行理财和购物变得越来越流行时,这种攻击方式的危害便被无限放大。同时,提出了针对社交网络中可能存在的攻击方法的防范措施。 展开更多

关键词 信息安全 WEB安全 社交网络 跨站脚本 钓鱼网络 信息欺诈 安全防范

在线阅读 下载PDF 职称材料

基于FP-growth优化SVM分类器的跨站脚本攻击检测研究 被引量：2

7

作者 李仁杰 华驰 鲁志萍 《信息安全研究》 2020年第9期766-774,共9页

跨站脚本(cross-site scripting,XSS)攻击是一种基于Web的安全攻击,是目前影响互联网安全的最为严重的威胁之一.通过对支持向量机(SVM)分类器的XSS攻击检测相关技术的研究,提出了一种基于关联分析算法(FP-growth)优化SVM分类器的XSS攻... 跨站脚本(cross-site scripting,XSS)攻击是一种基于Web的安全攻击,是目前影响互联网安全的最为严重的威胁之一.通过对支持向量机(SVM)分类器的XSS攻击检测相关技术的研究,提出了一种基于关联分析算法(FP-growth)优化SVM分类器的XSS攻击自动检测策略,实验结果证明该策略有效提高了XSS攻击检测精准度. 展开更多

关键词 机器学习 跨站脚本 支持向量机 关联分析算法 攻击 检测方法

在线阅读 下载PDF 职称材料

XSS跨站脚本攻击方法初探 被引量：4

8

作者 罗来曦 朱渔 《宜春学院学报》 2009年第6期87-89,共3页

XSS又叫CSS(Cross Site Script),跨站脚本攻击。跨站脚本攻击以访问服务器的客户端为攻击目标,通过恶意脚本向第三方站点发送用户的信息。跨站脚本攻击是继SQL注入攻击后最为常用的攻击手段。XSS本质上是Web应用服务的漏洞,主要的攻击... XSS又叫CSS(Cross Site Script),跨站脚本攻击。跨站脚本攻击以访问服务器的客户端为攻击目标,通过恶意脚本向第三方站点发送用户的信息。跨站脚本攻击是继SQL注入攻击后最为常用的攻击手段。XSS本质上是Web应用服务的漏洞,主要的攻击方法分别是在Web应用程序中偷cookie、利用iframe或frame存取管理页面或后台页面、利用XMLHttpRequest存取管理页面或后台页面。 展开更多

关键词 跨站脚本攻击 HTML COOKIE

在线阅读 下载PDF 职称材料

基于PHP的在线跨站脚本检测工具

9

作者 王佩 牛晨 丁立彤 《现代电子技术》 北大核心 2015年第20期41-43,共3页

跨站脚本是一类基于网站应用程序的安全漏洞攻击,将研究和解决快速化的自动化检测。为了有效地防止跨站脚本被滥用,决定创建一种基于Web的跨站脚本检测方式,以发现Web站点中潜在的跨站风险。完成主要的6大模块有:登陆模块、检测模块、... 跨站脚本是一类基于网站应用程序的安全漏洞攻击,将研究和解决快速化的自动化检测。为了有效地防止跨站脚本被滥用,决定创建一种基于Web的跨站脚本检测方式,以发现Web站点中潜在的跨站风险。完成主要的6大模块有:登陆模块、检测模块、扫描模块、输出模块、报表模块、日志模块。核心代码模块是检测和扫描部分,他们相互配合构造跨站参数并抓取反馈信息,其他模块配合核心代码起到辅助作用。选择PHP进行构造是一大亮点,PHP是一种Web程序语言,能够快速地解析前端DOM内容,在脚本语言中速度仅次于Python。用Web方式构造和检测本就属于Web攻击的跨站脚本,将更加快捷、高效。 展开更多

关键词 跨站脚本 WEB PHP 安全检测 扫描

在线阅读 下载PDF 职称材料

跨站脚本攻击客户端防御技术研究

10

作者 鲍泽民 王根英 李娟 《铁路计算机应用》 2015年第7期17-20,共4页

跨站脚本攻击是当今Web应用领域危害最严重、最常见的威胁之一,本文设计了全新的跨站攻击防御方法,该方法以动态污点追踪为主,辅以静态污点分析,可有效阻止客户端敏感信息的泄露,实现了对跨站攻击的有效拦截。并通过对Javascript引擎Spi... 跨站脚本攻击是当今Web应用领域危害最严重、最常见的威胁之一,本文设计了全新的跨站攻击防御方法,该方法以动态污点追踪为主,辅以静态污点分析,可有效阻止客户端敏感信息的泄露,实现了对跨站攻击的有效拦截。并通过对Javascript引擎Spidermonkey的扩展,在开源的Firefox上实现了基于该方法的插件xss Cleaner,验证了防御方法的有效性。 展开更多

关键词 跨站脚本攻击 浏览器安全 动态污点追踪 静态分析

在线阅读 下载PDF 职称材料

基于卷积神经网络的跨站脚本攻击检测模型 被引量：3

11

作者 胡乙丹 《舰船电子工程》 2023年第6期110-115,共6页

研究一种高效、准确的跨站攻击检测模型在信息安全领域中具有重要的意义。然而,传统的跨站攻击检测方法不仅需要花费大量的时间来提取这些攻击特征,还要结合一定的主观经验才能取得好的效果。为了提高XSS攻击的检测效率与准确率,论文提... 研究一种高效、准确的跨站攻击检测模型在信息安全领域中具有重要的意义。然而,传统的跨站攻击检测方法不仅需要花费大量的时间来提取这些攻击特征,还要结合一定的主观经验才能取得好的效果。为了提高XSS攻击的检测效率与准确率,论文提出一种基于一维卷积神经网络模型的XSS攻击检测方法。首先,根据XSS攻击样本的特点,对样本进行HTML与URL的解码与范化、分词以及向量化处理,然后将处理后的词向量输入到论文所设计的一维卷积神经网络模型中。通过多次实验选择模型合适的超参数,并与传统的检测模型进行对比实验。实验结果表明,论文提出的一维卷积神经网络模型以较少的检测时间达到了高达99.37%的准确率,与其它相关模型相比,此模型具有较好的性能与检测能力,对以XSS攻击为主的安全入侵检测与漏洞分析具有重要的意义。 展开更多

关键词 WEB安全 跨站脚本攻击 攻击检测 Word2Vec 卷积神经网络

在线阅读 下载PDF 职称材料

基于“跨站脚本”漏洞谈网络安全问题防范 被引量：1

12

作者 孙海波 李进国 《广播电视网络》 2020年第7期64-65,共2页

本文基于一起"跨站脚本"漏洞事件,论述如何做好网站的安全漏洞防范,防止网站管理员及用户信息被窃取,提升网站的防护能力。

关键词 网络安全漏洞 过滤 COOKIE 跨站脚本 问题防范

在线阅读 下载PDF 职称材料

跨站脚本攻击与防范研究

13

作者 张雨锋 王炅 《无线互联科技》 2023年第13期139-142,147,共5页

随着互联网的快速发展,越来越多的Web应用漏洞不断涌现,这对互联网安全造成了很大的威胁。其中,跨站脚本漏洞在Web漏洞中尤为常见,根据这一漏洞,跨站脚本攻击得以实现。这种攻击可以将恶意代码植入特定的网页,从而破坏系统的安全性。跨... 随着互联网的快速发展,越来越多的Web应用漏洞不断涌现,这对互联网安全造成了很大的威胁。其中,跨站脚本漏洞在Web漏洞中尤为常见,根据这一漏洞,跨站脚本攻击得以实现。这种攻击可以将恶意代码植入特定的网页,从而破坏系统的安全性。跨站脚本攻击具有匿名性、易操作、难以检测等特点,是当前互联网上比较常见的攻击手段之一。文章基于Web的环境探讨跨站脚本攻击问题,研究跨站脚本攻击的攻击原理,根据不同的类别分析漏洞成因,研究这类攻击的危害和影响,根据攻击特点提出相应的预防措施。 展开更多

关键词 WEB应用安全 跨站脚本 攻击原理与漏洞成因

在线阅读 下载PDF 职称材料

网站安全漏洞解析 被引量：3

14

作者 李扬 朱晓民 李炜 《四川兵工学报》 CAS 2012年第1期97-99,共3页

随着互联网的发展,Web应用软件的安全防护已成为关注的焦点。Web应用软件在部署运行后,必然要对外开放,因此就可能存在各种安全漏洞问题,本文主要介绍可能存在的网络安全漏洞,以及针对每种漏洞的解决办法,最后详细介绍一种解决跨站脚本... 随着互联网的发展,Web应用软件的安全防护已成为关注的焦点。Web应用软件在部署运行后,必然要对外开放,因此就可能存在各种安全漏洞问题,本文主要介绍可能存在的网络安全漏洞,以及针对每种漏洞的解决办法,最后详细介绍一种解决跨站脚本攻击和SQL注入漏洞的方法。 展开更多

关键词 SQL注入 跨站脚本攻击 网站安全

在线阅读 下载PDF 职称材料

网站漏洞扫描工具在网站安全整改中的运用 被引量：1

15

作者 龚海军 冯慧 《广播电视网络》 2021年第3期59-62,共4页

近年来,随着Web应用程序得到越来越广泛的应用,基于Web应用程序开发的视听节目网站作为广电行业一种重要的传播媒介,在传播大众信息方面发挥着重要作用。Web网站普遍具有开发周期短、维护成本低、移植性强等突出优点。基于这些优点,加... 近年来,随着Web应用程序得到越来越广泛的应用,基于Web应用程序开发的视听节目网站作为广电行业一种重要的传播媒介,在传播大众信息方面发挥着重要作用。Web网站普遍具有开发周期短、维护成本低、移植性强等突出优点。基于这些优点,加上整个互联网行业的快速发展,使得Web网站迅速成为应用范围最广的视听新媒体。但是,Web网站在给人们接收互联网信息带来很大方便的同时,也引起很多不怀好意的黑客的关注。一些重要的视听门户网站,经常被黑客肆意攻击,给网站带来巨大的安全隐患,对网络安全维护带来重大挑战,给视听门户网站传播党和政府的声音造成很大的负面影响。 展开更多

关键词 漏洞扫描 高危漏洞 Web 网站 跨站脚本漏洞 安全整改

在线阅读 下载PDF 职称材料

知道创宇推出创新网站安全监控管理模式

16

《中国信息安全》 2011年第11期81-81,共1页

专注于提供Web安全综合解决方案的知道创宇公司,近期正式发布网站立体监控平台WebSOC 4.0新版本。Web安全问题一直是企业、政府的管理难点,会导致业务中断、信誉受损甚至产生政治影响。用户长期依赖的传统人工借助普通扫描器的评估及报... 专注于提供Web安全综合解决方案的知道创宇公司,近期正式发布网站立体监控平台WebSOC 4.0新版本。Web安全问题一直是企业、政府的管理难点,会导致业务中断、信誉受损甚至产生政治影响。用户长期依赖的传统人工借助普通扫描器的评估及报告方式,难以实现对Web安全问题的常态化全面管理。WebSOC是一款创新网站监控管理产品,将扫描工作提升为常态化的监控管理,涵盖网站挂马、SQL注入、XSS跨站脚本。 展开更多

关键词 网站安全 创新 监控管理 在线业务 网站挂马 跨站脚本

在线阅读 下载PDF 职称材料

基于贝叶斯网络及STRIDE模型的XSS风险分析 被引量：2

17

作者 周鋆 符鹏涛 《指挥与控制学报》 CSCD 北大核心 2024年第1期38-46,共9页

贝叶斯网络因能够对事件进行建模并给出紧凑的概率表示,被广泛地用在风险分析上。针对XSS攻击,基于STRIDE威胁模型构建贝叶斯网络结构模型,并通过专家经验和排序节点获取节点先验概率,在此基础上采用拒绝性采样算法得到数据集,进而学习... 贝叶斯网络因能够对事件进行建模并给出紧凑的概率表示,被广泛地用在风险分析上。针对XSS攻击,基于STRIDE威胁模型构建贝叶斯网络结构模型,并通过专家经验和排序节点获取节点先验概率,在此基础上采用拒绝性采样算法得到数据集,进而学习贝叶斯网络参数。利用贝叶斯网络推理计算Web系统遭受XSS攻击的风险,找到弱点以加强相应的防护措施,实现积极防御。 展开更多

关键词 跨站脚本攻击XSS 贝叶斯网络 STRIDE威胁分类 排序节点 拒绝性采样

在线阅读 下载PDF 职称材料

基于CNN-LSTM-attention的XSS攻击检测方法

18

作者 郑松奕 陈国良 +1 位作者 张裕祥 蒋正亮 《信息技术与信息化》 2024年第5期50-53,共4页

在基于深度学习XSS检测的研究中,传统的CNN、LSTM、CNN-LSTM模型在某些数据集上可能存在一些问题。例如,CNN可能无法有效处理具有复杂空间结构的数据,而在处理具有较长时间序列的数据时,LSTM可能会出现梯度消失或梯度爆炸的问题。为了... 在基于深度学习XSS检测的研究中,传统的CNN、LSTM、CNN-LSTM模型在某些数据集上可能存在一些问题。例如,CNN可能无法有效处理具有复杂空间结构的数据,而在处理具有较长时间序列的数据时,LSTM可能会出现梯度消失或梯度爆炸的问题。为了解决这些问题,引入attention机制,结合CNN和LSTM模型(CNN-LSTM-attention)用于XSS攻击检测。CNN-LSTM-attention结合了CNN和LSTM优势,并通过注意力机制来提高分类的准确性。实验表明CNN-LSTM-attention相比CNN、LSTM、CNN-LSTM算法在准确率上有较大的提升。 展开更多

关键词 跨站脚本攻击 卷积神经网络 长短期记忆网络 注意力机制

在线阅读 下载PDF 职称材料

XSS漏洞研究综述 被引量：7

19

作者 孙伟 张凯寓 +1 位作者 薛临风 徐田华 《信息安全研究》 2016年第12期1068-1079,共12页

跨站脚本(cross-site scripting,XSS)是一种常见的针对Web应用程序安全漏洞的攻击.恶意用户利用漏洞将恶意脚本注入网页之中,当用户浏览该网页时,便会触发脚本,导致攻击行为发生.由于HTML编码方案的高度灵活性,攻击者可通过多种方法绕... 跨站脚本(cross-site scripting,XSS)是一种常见的针对Web应用程序安全漏洞的攻击.恶意用户利用漏洞将恶意脚本注入网页之中,当用户浏览该网页时,便会触发脚本,导致攻击行为发生.由于HTML编码方案的高度灵活性,攻击者可通过多种方法绕过输入验证过滤器,导致XSS难以被发现和预防.为了有效减少XSS造成的危害损失,依照XSS的分类,对反射型XSS、存储型XSS和基于DOM的XSS特征及原理进行了细致的分析和对比,并对数量庞大、形态各异的XSS攻击向量进行归纳和梳理,通过举例对C∞kie窃取、会话劫持、钓鱼欺骗等XSS常见利用方式进行说明,并对常用的XSS防御手段进行整理,最后对静态分析、动态分析、机器学习等主流的XSS漏洞自动化检测方法进行总结. 展开更多

关键词 WEB安全 跨站脚本 攻击向量 漏洞利用 漏洞检测方法

在线阅读 下载PDF 职称材料

一种Web应用中轻量级的JavaScript API保护机制 被引量：2

20

作者 刘树凯 颜学雄 +2 位作者 王清贤 赵旭 柴川森 《信息工程大学学报》 2018年第2期220-225,共6页

随着Java Script API的功能日益强大,对Java Script API保护机制的缺失,导致Web应用面临严重的安全风险。提出一种轻量级的Web页面Java Script API的保护机制PMJA,证明由PMJA保护的Java Script API不被攻击者恶意利用。PMJA定义浏览器为... 随着Java Script API的功能日益强大,对Java Script API保护机制的缺失,导致Web应用面临严重的安全风险。提出一种轻量级的Web页面Java Script API的保护机制PMJA,证明由PMJA保护的Java Script API不被攻击者恶意利用。PMJA定义浏览器为Web页面提供安全风险的Java Script API,允许开发者细粒度的配置每个页面可访问有安全风险的Java Script API。策略语言简单易用,开发者可自动为Web页面设计策略,使用PMJA对Web页面渲染效率的影响较小。实验结果表明,使用PMJA页面的渲染时间增加0.7%~5.1%,平均不足2.8%。由于在Web页面中嵌入一段Java Script代码即可实现,PMJA直接部署到现有的Web应用中。 展开更多

关键词 WEB应用 内容安全策略 跨站脚本 JAVASCRIPT API

在线阅读 下载PDF 职称材料