XSS跨站脚本攻击方法初探 被引量：4

1

作者 罗来曦 朱渔 《宜春学院学报》 2009年第6期87-89,共3页

XSS又叫CSS(Cross Site Script),跨站脚本攻击。跨站脚本攻击以访问服务器的客户端为攻击目标,通过恶意脚本向第三方站点发送用户的信息。跨站脚本攻击是继SQL注入攻击后最为常用的攻击手段。XSS本质上是Web应用服务的漏洞,主要的攻击... XSS又叫CSS(Cross Site Script),跨站脚本攻击。跨站脚本攻击以访问服务器的客户端为攻击目标,通过恶意脚本向第三方站点发送用户的信息。跨站脚本攻击是继SQL注入攻击后最为常用的攻击手段。XSS本质上是Web应用服务的漏洞,主要的攻击方法分别是在Web应用程序中偷cookie、利用iframe或frame存取管理页面或后台页面、利用XMLHttpRequest存取管理页面或后台页面。 展开更多

关键词 跨站脚本攻击 HTML COOKIE

在线阅读 下载PDF 职称材料

跨站脚本攻击客户端防御技术研究

2

作者 鲍泽民 王根英 李娟 《铁路计算机应用》 2015年第7期17-20,共4页

跨站脚本攻击是当今Web应用领域危害最严重、最常见的威胁之一,本文设计了全新的跨站攻击防御方法,该方法以动态污点追踪为主,辅以静态污点分析,可有效阻止客户端敏感信息的泄露,实现了对跨站攻击的有效拦截。并通过对Javascript引擎Spi... 跨站脚本攻击是当今Web应用领域危害最严重、最常见的威胁之一,本文设计了全新的跨站攻击防御方法,该方法以动态污点追踪为主,辅以静态污点分析,可有效阻止客户端敏感信息的泄露,实现了对跨站攻击的有效拦截。并通过对Javascript引擎Spidermonkey的扩展,在开源的Firefox上实现了基于该方法的插件xss Cleaner,验证了防御方法的有效性。 展开更多

关键词 跨站脚本攻击 浏览器安全 动态污点追踪 静态分析

在线阅读 下载PDF 职称材料

基于卷积神经网络的跨站脚本攻击检测模型 被引量：2

3

作者 胡乙丹 《舰船电子工程》 2023年第6期110-115,共6页

研究一种高效、准确的跨站攻击检测模型在信息安全领域中具有重要的意义。然而,传统的跨站攻击检测方法不仅需要花费大量的时间来提取这些攻击特征,还要结合一定的主观经验才能取得好的效果。为了提高XSS攻击的检测效率与准确率,论文提... 研究一种高效、准确的跨站攻击检测模型在信息安全领域中具有重要的意义。然而,传统的跨站攻击检测方法不仅需要花费大量的时间来提取这些攻击特征,还要结合一定的主观经验才能取得好的效果。为了提高XSS攻击的检测效率与准确率,论文提出一种基于一维卷积神经网络模型的XSS攻击检测方法。首先,根据XSS攻击样本的特点,对样本进行HTML与URL的解码与范化、分词以及向量化处理,然后将处理后的词向量输入到论文所设计的一维卷积神经网络模型中。通过多次实验选择模型合适的超参数,并与传统的检测模型进行对比实验。实验结果表明,论文提出的一维卷积神经网络模型以较少的检测时间达到了高达99.37%的准确率,与其它相关模型相比,此模型具有较好的性能与检测能力,对以XSS攻击为主的安全入侵检测与漏洞分析具有重要的意义。 展开更多

关键词 WEB安全 跨站脚本攻击 攻击检测 Word2Vec 卷积神经网络

在线阅读 下载PDF 职称材料

基于PhantomJS的跨站脚本检测方法研究 被引量：1

4

作者 黄细标 《信息技术与信息化》 2024年第6期192-195,共4页

针对现有动态检测跨站脚本方法中存在传统爬虫不能爬取由JavaScript异步加载的网页数据等问题,提出一种基于PhantomJS的网络爬虫的跨站脚本检测方法,更加全面地获取网站页面与漏洞注入点。通过综合考虑字符串长度、字符类型等因素对攻... 针对现有动态检测跨站脚本方法中存在传统爬虫不能爬取由JavaScript异步加载的网页数据等问题,提出一种基于PhantomJS的网络爬虫的跨站脚本检测方法,更加全面地获取网站页面与漏洞注入点。通过综合考虑字符串长度、字符类型等因素对攻击向量进行了优化,以绕过服务端的过滤机制,并提出一种基于自动化攻击向量与合法向量生成算法,在攻击过程中动态生成攻击向量与合法向量,以提高挖掘漏洞的准确性。依据所提出的检测方法,实现了一款跨站脚本漏洞检测工具(PhantomJS-based XSS scanner,PXS),并通过实验结果验证了所提出的方法能够有效发掘漏洞。 展开更多

关键词 跨站脚本攻击 PhantomJS 攻击向量 合法向量

在线阅读 下载PDF 职称材料

基于CNN-LSTM-attention的XSS攻击检测方法

5

作者 郑松奕 陈国良 +1 位作者 张裕祥 蒋正亮 《信息技术与信息化》 2024年第5期50-53,共4页

在基于深度学习XSS检测的研究中,传统的CNN、LSTM、CNN-LSTM模型在某些数据集上可能存在一些问题。例如,CNN可能无法有效处理具有复杂空间结构的数据,而在处理具有较长时间序列的数据时,LSTM可能会出现梯度消失或梯度爆炸的问题。为了... 在基于深度学习XSS检测的研究中,传统的CNN、LSTM、CNN-LSTM模型在某些数据集上可能存在一些问题。例如,CNN可能无法有效处理具有复杂空间结构的数据,而在处理具有较长时间序列的数据时,LSTM可能会出现梯度消失或梯度爆炸的问题。为了解决这些问题,引入attention机制,结合CNN和LSTM模型(CNN-LSTM-attention)用于XSS攻击检测。CNN-LSTM-attention结合了CNN和LSTM优势,并通过注意力机制来提高分类的准确性。实验表明CNN-LSTM-attention相比CNN、LSTM、CNN-LSTM算法在准确率上有较大的提升。 展开更多

关键词 跨站脚本攻击 卷积神经网络 长短期记忆网络 注意力机制

在线阅读 下载PDF 职称材料

网站安全漏洞解析 被引量：3

6

作者 李扬 朱晓民 李炜 《四川兵工学报》 CAS 2012年第1期97-99,共3页

随着互联网的发展,Web应用软件的安全防护已成为关注的焦点。Web应用软件在部署运行后,必然要对外开放,因此就可能存在各种安全漏洞问题,本文主要介绍可能存在的网络安全漏洞,以及针对每种漏洞的解决办法,最后详细介绍一种解决跨站脚本... 随着互联网的发展,Web应用软件的安全防护已成为关注的焦点。Web应用软件在部署运行后,必然要对外开放,因此就可能存在各种安全漏洞问题,本文主要介绍可能存在的网络安全漏洞,以及针对每种漏洞的解决办法,最后详细介绍一种解决跨站脚本攻击和SQL注入漏洞的方法。 展开更多

关键词 SQL注入 跨站脚本攻击 网站安全

在线阅读 下载PDF 职称材料

基于模糊测试和集成学习的XSS攻击检测方法 被引量：1

7

作者 马征 陈学斌 张国鹏 《华北理工大学学报（自然科学版）》 CAS 2023年第3期125-133,共9页

跨站点脚本(XSS)攻击是Web应用程序中最严重的安全问题之一。针对现有技术在检测未知XSS攻击方面存在效率低、误报率高等问题,文中提出了一种基于模糊测试和集成学习的XSS攻击检测方法。方案的思想是通过模糊测试生成XSS攻击测试用例,... 跨站点脚本(XSS)攻击是Web应用程序中最严重的安全问题之一。针对现有技术在检测未知XSS攻击方面存在效率低、误报率高等问题,文中提出了一种基于模糊测试和集成学习的XSS攻击检测方法。方案的思想是通过模糊测试生成XSS攻击测试用例,利用有监督的集成学习技术在大型标记和平衡数据集上进行训练。采取的集成学习方法主要有随机森林、自适应提升(Adaptive boosting,Adaboost)、极端随机树、梯度Boosting、基于直方图的梯度Boosting,以支持向量机为基学习器的Bagging。从准确率、召回率等方面评价分类器的检测效果,利用混淆矩阵对集成学习算法性能进行分析和比较,结果显示,集成学习检测方法对XSS攻击都具有较好的检测效果,基于直方图的梯度提升算法和极端随机树算法较优,准确率达到了99.84%。 展开更多

关键词 跨站脚本攻击 模糊测试 机器学习 集成学习

在线阅读 下载PDF 职称材料

基于贝叶斯网络及STRIDE模型的XSS风险分析 被引量：1

8

作者 周鋆 符鹏涛 《指挥与控制学报》 CSCD 北大核心 2024年第1期38-46,共9页

贝叶斯网络因能够对事件进行建模并给出紧凑的概率表示,被广泛地用在风险分析上。针对XSS攻击,基于STRIDE威胁模型构建贝叶斯网络结构模型,并通过专家经验和排序节点获取节点先验概率,在此基础上采用拒绝性采样算法得到数据集,进而学习... 贝叶斯网络因能够对事件进行建模并给出紧凑的概率表示,被广泛地用在风险分析上。针对XSS攻击,基于STRIDE威胁模型构建贝叶斯网络结构模型,并通过专家经验和排序节点获取节点先验概率,在此基础上采用拒绝性采样算法得到数据集,进而学习贝叶斯网络参数。利用贝叶斯网络推理计算Web系统遭受XSS攻击的风险,找到弱点以加强相应的防护措施,实现积极防御。 展开更多

关键词 跨站脚本攻击XSS 贝叶斯网络 STRIDE威胁分类 排序节点 拒绝性采样

在线阅读 下载PDF 职称材料

Web安全威胁与防御技术研究 被引量：1

9

作者 王瑜 李卓 姚微娜 《长春理工大学学报（自然科学版）》 2017年第2期135-139,共5页

Web应用广泛普及的同时,也带来了大量的安全威胁。本文分析了常见Web攻击:跨站脚本攻击、Flash攻击、跨站伪造请求攻击、APT攻击、DDoS攻击,从安全威胁的产生原因、常见攻击手段出发,总结了攻击者经常利用的Web安全漏洞,并提出了相应的... Web应用广泛普及的同时,也带来了大量的安全威胁。本文分析了常见Web攻击:跨站脚本攻击、Flash攻击、跨站伪造请求攻击、APT攻击、DDoS攻击,从安全威胁的产生原因、常见攻击手段出发,总结了攻击者经常利用的Web安全漏洞,并提出了相应的防御措施和方法,对提高Web安全具有重要的参考价值。 展开更多

关键词 WEB安全 跨站脚本攻击 跨站伪造请求攻击 APT DDOS

在线阅读 下载PDF 职称材料

Web系统安全问题与防护机制研究 被引量：6

10

作者 陈刚 逯柳 《无线互联科技》 2019年第15期108-109,共2页

文章分析了SQL注入、XSS,CSRF、文件上传漏洞等常见Web系统安全问题的攻击方式和原理,并给出了防护机制和解决方法,能有效提高Web系统运作时的安全性和鲁棒性。

关键词 Web系统安全 结构化查询语言注入 跨站脚本攻击 跨站请求伪造攻击 文件上传漏洞

在线阅读 下载PDF 职称材料

REST的安全性分析与策略研究 被引量：4

11

作者 程飞 沈波 《铁路计算机应用》 2013年第10期34-36,共3页

表述性状态转移(REST)作为一种当前主流的架构,具有简单、高效、无状态、可伸缩、互操作等特性,得到越来越多的应用。但是由于REST的技术和安全机制还不够完善,应用时会出现一些安全问题,因此针对REST的安全性研究成为了当前热点。本文... 表述性状态转移(REST)作为一种当前主流的架构,具有简单、高效、无状态、可伸缩、互操作等特性,得到越来越多的应用。但是由于REST的技术和安全机制还不够完善,应用时会出现一些安全问题,因此针对REST的安全性研究成为了当前热点。本文在分析REST特点、安全机制及其所面临的安全威胁的基础上,对REST常见安全问题及安全策略进行分析与研究,设计了REST安全模型,搭建了REST安全检测系统,测试结果表明该系统能有效检测REST常见安全问题。 展开更多

关键词 REST安全 安全策略 注入式攻击 跨站脚本攻击

在线阅读 下载PDF 职称材料

基于Web的酒店点评系统安全测试研究 被引量：3

12

作者 苏乾 侯俊 《电子科技》 2016年第12期148-151,155,共5页

为防范基于Web应用程序的漏洞攻击,文中对一个Web页面的酒店点评系统安全性能进行了测试。研究了该酒店点评系统在运行中各个环节上出现的Web应用程序漏洞。针对其中3种主要漏洞:SQL注入、跨站脚本攻击及跨站请求伪造,根据其产生原理和... 为防范基于Web应用程序的漏洞攻击,文中对一个Web页面的酒店点评系统安全性能进行了测试。研究了该酒店点评系统在运行中各个环节上出现的Web应用程序漏洞。针对其中3种主要漏洞:SQL注入、跨站脚本攻击及跨站请求伪造,根据其产生原理和攻击过程,提出了过滤特殊字符和加密关键传递参数的防御方法,并给出相应的程序代码。测试结果显示,该酒店点评系统能有效地防范Web应用程序漏洞,提高了系统的安全性。 展开更多

关键词 Web酒店点评系统 SQL注入 跨站脚本攻击 跨站请求伪造

在线阅读 下载PDF 职称材料

基于Django的XSS防御研究与实现 被引量：2

13

作者 韩可彧 李伟 《电子设计工程》 2018年第6期38-41,47,共5页

跨站脚本攻击(XSS)是当前最流行的Web应用攻击方式之一,而Django作为目前比较火热的Web应用开发框架,并没有为其开发的Web应用提供有效的XSS防御功能。本文针对此问题,采用中间件,黑白名单,SBT,字符熵以及N-gram等多种技术,为Django设... 跨站脚本攻击(XSS)是当前最流行的Web应用攻击方式之一,而Django作为目前比较火热的Web应用开发框架,并没有为其开发的Web应用提供有效的XSS防御功能。本文针对此问题,采用中间件,黑白名单,SBT,字符熵以及N-gram等多种技术,为Django设计了一个XSS防御组件。基于该组件分别进行了功能及性能测试,其中漏报率和误报率都低于3%,平均响应延迟5%,并能有效解决原生Django在XSS防护时过分依赖模板变量且不能适应富文本应用场景等问题,系统安全可靠。 展开更多

关键词 跨站脚本攻击 Djano 中间件 模板变量 富文本

在线阅读 下载PDF 职称材料

基于Libra爬虫技术的Web漏洞检测方法研究 被引量：2

14

作者 梁志宏 欧阳可萃 《信息技术》 2018年第1期33-35,41,共4页

在互联网时代,Web服务涉及到用户生活、工作及学习等各个领域,如果不能够有效检测和修补漏洞,广大用户将面临多类潜在安全威胁。在讨论Libra爬虫技术优点的基础上,对如何运用该技术检测Web漏洞进行分析,结果表明:通过构建完善URL列表以... 在互联网时代,Web服务涉及到用户生活、工作及学习等各个领域,如果不能够有效检测和修补漏洞,广大用户将面临多类潜在安全威胁。在讨论Libra爬虫技术优点的基础上,对如何运用该技术检测Web漏洞进行分析,结果表明:通过构建完善URL列表以及攻击向量生成库,爬取效率和准确率都可得到保障;Libra爬虫技术可以对Web操作行为进行动态抓取,从而改善漏洞检测效果。对改善Web漏洞修补效率、提升Web产品用户体验有一定参考价值。 展开更多

关键词 Web漏洞 浏览安全 Libra爬虫技术 跨站脚本攻击

在线阅读 下载PDF 职称材料

国家税务总局“病毒集中预警管理系统”测试情况

15

《中国信息安全》 2010年第1期28-28,共1页

一、测试概况2009年3月3日,受国家税务总局委托,中国信息安全测评中心信息安全实验室对其定制采购的病毒集中预警管理系统进行了功能、安全性、系统隐患分析、性能和代码安全检测等五个方面的测试。其中1个性能测试项在国税总局现场进行... 一、测试概况2009年3月3日,受国家税务总局委托,中国信息安全测评中心信息安全实验室对其定制采购的病毒集中预警管理系统进行了功能、安全性、系统隐患分析、性能和代码安全检测等五个方面的测试。其中1个性能测试项在国税总局现场进行,其他测试项目均在中国信息安全测评中心信息安全实验室内进行。该产品是一套采集杀毒软件的病毒日志及网络病毒日志,并进行统计分析的管理系统。该系统包括预警中心、网络插件、探针三个部分。 展开更多

关键词 国家税务总局 预警管理系统 跨站脚本攻击 网络病毒 计算机病毒

在线阅读 下载PDF 职称材料