题名 基于贝叶斯网络及STRIDE模型的XSS风险分析
被引量:1
1
作者
周鋆 符鹏涛
机构
国防科技大学信息系统工程全国重点实验室
出处
《指挥与控制学报》
CSCD
北大核心
2024年第1期38-46,共9页
基金
国家自然科学基金(62276272) 湖南省科技创新计划-湖湘青年英才(2021RC3076) 长沙市杰出创新青年培养计划基金(KQ2009009)资助。
文摘
贝叶斯网络因能够对事件进行建模并给出紧凑的概率表示,被广泛地用在风险分析上。针对XSS攻击,基于STRIDE威胁模型构建贝叶斯网络结构模型,并通过专家经验和排序节点获取节点先验概率,在此基础上采用拒绝性采样算法得到数据集,进而学习贝叶斯网络参数。利用贝叶斯网络推理计算Web系统遭受XSS攻击的风险,找到弱点以加强相应的防护措施,实现积极防御。
关键词
跨站脚本攻击xss 贝叶斯网络 STRIDE威胁分类 排序节点 拒绝性采样
Keywords
cross site scripting xss Bayesian network STRIDE threat classification ranking nodes rejection sampling
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
TP18
[自动化与计算机技术—控制理论与控制工程]
题名 XSS漏洞研究综述
被引量:7
2
作者
孙伟 张凯寓 薛临风 徐田华
机构
中山大学电子与信息工程学院 信息技术教育部重点实验室(中山大学) 中山大学数据科学与计算机学院 轨道交通控制与安全国家重点实验室(北京交通大学)
出处
《信息安全研究》
2016年第12期1068-1079,共12页
基金
澳门科技发展基金项目(097/2013/A3) 轨道交通控制与安全国家重点实验室(北京交通大学)开放课题基金项目(RCS2016K007)
文摘
跨站脚本(cross-site scripting,XSS)是一种常见的针对Web应用程序安全漏洞的攻击.恶意用户利用漏洞将恶意脚本注入网页之中,当用户浏览该网页时,便会触发脚本,导致攻击行为发生.由于HTML编码方案的高度灵活性,攻击者可通过多种方法绕过输入验证过滤器,导致XSS难以被发现和预防.为了有效减少XSS造成的危害损失,依照XSS的分类,对反射型XSS、存储型XSS和基于DOM的XSS特征及原理进行了细致的分析和对比,并对数量庞大、形态各异的XSS攻击向量进行归纳和梳理,通过举例对C∞kie窃取、会话劫持、钓鱼欺骗等XSS常见利用方式进行说明,并对常用的XSS防御手段进行整理,最后对静态分析、动态分析、机器学习等主流的XSS漏洞自动化检测方法进行总结.
关键词
WEB安全 跨站脚本 攻击向量 漏洞利用 漏洞检测方法
Keywords
Web security xss(cross-site scripting) attack vectors exploit vulnerability detection methods
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
题名 基于Django的XSS防御研究与实现
被引量:2
3
作者
韩可彧 李伟
机构
武汉邮电科学研究院 武汉烽火立云网络科技有限公司
出处
《电子设计工程》
2018年第6期38-41,47,共5页
文摘
跨站脚本攻击(XSS)是当前最流行的Web应用攻击方式之一,而Django作为目前比较火热的Web应用开发框架,并没有为其开发的Web应用提供有效的XSS防御功能。本文针对此问题,采用中间件,黑白名单,SBT,字符熵以及N-gram等多种技术,为Django设计了一个XSS防御组件。基于该组件分别进行了功能及性能测试,其中漏报率和误报率都低于3%,平均响应延迟5%,并能有效解决原生Django在XSS防护时过分依赖模板变量且不能适应富文本应用场景等问题,系统安全可靠。
关键词
跨站脚本攻击 Djano 中间件 模板变量 富文本
Keywords
Cross site scripting (xss ) Djano middleware template variable rich text
分类号
TN918
[电子电信—通信与信息系统]
题名 针对XSS攻击的监控预警系统
被引量:1
4
作者
任航 张保稳
机构
上海交通大学信息安全工程学院网络攻防实验室
出处
《信息技术》
2016年第11期130-133,共4页
文摘
XSS,即跨站脚本攻击(Cross Site Script)是Web程序中最常见的漏洞之一,针对XSS攻击众多学者也提出了许多检测与防御方法。文中试着从一个新的角度,借助HTML5的一些新特性,提出一套纯前端脚本实现的在线预警系统,在可疑XSS攻击发生时能及时修复漏洞。在文章最后,还将该系统与HTML5自身的XSS解决方案CSP(Content Security Policy)进行对比,分析其优劣。
关键词
xss HTML5 客户端脚本 监控预警系统
Keywords
xss HTML5 client script monitoring and early warning system
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
题名 跨站脚本攻击与防范研究
5
作者
张雨锋 王炅
机构
闽江学院计算机与控制工程学院
出处
《无线互联科技》
2023年第13期139-142,147,共5页
基金
跨站脚本攻击原理与利用分析,项目编号:103952022110。
文摘
随着互联网的快速发展,越来越多的Web应用漏洞不断涌现,这对互联网安全造成了很大的威胁。其中,跨站脚本漏洞在Web漏洞中尤为常见,根据这一漏洞,跨站脚本攻击得以实现。这种攻击可以将恶意代码植入特定的网页,从而破坏系统的安全性。跨站脚本攻击具有匿名性、易操作、难以检测等特点,是当前互联网上比较常见的攻击手段之一。文章基于Web的环境探讨跨站脚本攻击问题,研究跨站脚本攻击的攻击原理,根据不同的类别分析漏洞成因,研究这类攻击的危害和影响,根据攻击特点提出相应的预防措施。
关键词
WEB应用安全 跨站脚本 攻击原理与漏洞成因
Keywords
Web application security cross-site scripting (xss )attack principles and causes of vulnerabilities
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
