【摘 要】
:
随着互联网技术的快速发展,Web应用被大量开发来提供各种服务,使人们生活更加便利。而针对Web应用安全漏洞的攻击对各类网站构成了严重威胁。目前,跨站脚本(cross-site scrip
论文部分内容阅读
随着互联网技术的快速发展,Web应用被大量开发来提供各种服务,使人们生活更加便利。而针对Web应用安全漏洞的攻击对各类网站构成了严重威胁。目前,跨站脚本(cross-site scripting,XSS)攻击作为互联网中攻击数量最多的手段,已得到人们的广泛关注。跨站脚本分为两种类型:反射型XSS和存储型XSS。针对反射型XSS攻击,已有许多有效的方法及工具对其进行阻止和检测,但对于存储恶意脚本到后端数据库的存储型XSS攻击的检测方法存在着很多的不足之处。本文介绍了存储型XSS漏洞攻击原理,定义了攻击向量的巴科诺尔斯范式(BNF)语法,提出使用BNF生成式自动生成初始攻击向量,并对其进行不同类型的变异处理,使用辅助标记自动检测存储型XSS漏洞的动态检测方法。该方法由静态爬取和动态测试组成。在静态爬取阶段,爬取Web应用找到所有可能的注入点及展现注入信息的相关页面;在动态测试阶段,对找到的注入点使用攻击向量构造恶意数据包提交至服务器模拟攻击,并在对应展现页面进行匹配查找,确定漏洞的存在。最后本文对现实Web应用进行检测分析与评估,实验结果验证了本文方法的有效性与可行性。本文方法可以有效检测存储型XSS漏洞,弥补了其他方法的不足。与静态分析方法相比,本文方法通过爬取分析Web应用找到注入点,追溯“探子”向量找到展现页面,无需程序源码,适用性更广。与运行时监测的方法相比,本文方法检测为全自动过程,不需要用户干预,用户体验好,无系统开销,效率更高。
其他文献
随着计算机和通信技术的发展,人们对Internet的需求已经越来越超乎想象,因此更多、更合理的控制机制对现有网络的顺畅运作起着非常重要的作用,其中最基本、最关键的就是拥塞
本文从计算机安全的基本原理和MIS系统的设计基础出发,详细介绍了基于B/S结构的学位管理信息系统的开发和实现,讨论了系统开发方法和技术路线的选择,详细介绍了数据库设计和核心
随着计算机技术和通信技术的迅速发展,嵌入式系统得到了越来越广泛的应用,已经成为了计算机应用领域的一个重要分支。如今,嵌入式系统的应用数量已远远超过了各种通用计算机,在信
本课题研究基于组件技术的数控软件系统集成平台的设计与实现。这个平台以组件描述方法和软件体系结构描述方法为基础。 本课题提出了一种基于XML技术的可扩展的组件描述
螺旋波是非平衡斑图中最常见的一种,广泛存在于数学、物理、力学、天文、化学、医学、生物等学科。螺旋波形成与失稳会对一些实际系统产生损害,因此开展对螺旋波的失稳机制及其
BACnet (A Data Communication Protocol for Building Automation and Control Network)协议是世界上第一个楼宇自动控制网络协议,现已成为国际上智能建筑发展的方向和主流通
随着嵌入式应用技术的迅速发展,嵌入式系统已经广泛地应用于人类生活的方方面面。社会对嵌入式人才的需求也不断增加,很多高校已经开设了嵌入式应用技术课程。该学科具有很强
近年来,随着网络技术的飞速发展,在Internet上涌现了许多高带宽需求的多媒体应用,例如视频点播、远程教育和交互式游戏等等,IPv4协议已经不太适合这些应用。因此,IETF提出了IPv6协
海量多元化的移动互联网应用正影响甚至重塑人们的生活,但“碎片化”的APP使得用户在完成大粒度任务时不得不经常在众多APP间进行手动切换,这极大地损害了用户的使用体验。随
无线传感器网络作为当今信息领域新的研究热点,涉及多学科交叉的研究领域,有非常多的关键技术有待发现,本文仅研究时间同步和二层架构,并实现一个选路协议。 在无线传感器网络