作者:赵志远 期刊:《网络安全和信息化》 2018年第11期
提起Web安全防护,那就不得不提WAF,的确,在针对Web安全的防护工具中应用最为广泛的就是WAF。但WAF是最有效的吗?未必。Web应用本身的复杂性决定了其安全防护绝非易事,用户不仅要防范传统的诸如SQL注入、跨站脚本XSS等攻击,特别是近年来出现了大量新兴安全威胁及漏洞,例如Bots攻击、API数据泄露、零日漏洞等,这些新兴威胁可以轻松绕过传统验证码的人机识别技术,更是令WAF显得形同虚设。
漏洞态势一、公开漏洞情况根据国家信息安全漏洞库(CNNVD)统计,2019年10月份新增安全漏洞共1774个,从厂商分布来看,Oracle公司产品的漏洞数量最多,共137个;从漏洞类型来看,跨站脚本类的漏洞占比最大,达到15.11%。本月新增漏洞中,超危漏洞202个、高危漏洞581个、中危漏洞916个、低危漏洞75个,相应修复率分别为76.73%、82.27%、83.62%以及85.33%。合计1463个漏洞已有修复补丁,本月整体修复率82.47%。
作者:孙伟; 张凯寓; 薛临风; 徐田华 期刊:《信息安全研究》 2016年第12期
跨站脚本(cross-site scripting,XSS)是一种常见的针对Web应用程序安全漏洞的攻击.恶意用户利用漏洞将恶意脚本注入网页之中,当用户浏览该网页时,便会触发脚本,导致攻击行为发生.由于HTML编码方案的高度灵活性,攻击者可通过多种方法绕过输入验证过滤器,导致XSS难以被发现和预防.为了有效减少XSS造成的危害损失,依照XSS的分类,对反射型XSS、存储型XSS和基于DOM的XSS特征及原理进行了细致的分析和对比,并对数量庞大、形态各异的XSS...
随着计算机信息技术的高速发展,人们的生活、工作越来越依赖互联网上的信息和信息获取,但是人们却时刻被信息网络的安全隐患所困扰,越来越多的人也开始了关于网络、网站的安全性管理研究。本文以政府部门计算机网络和网站在运行中碰到的安全问题,阐述了如何建设相对安全的网控中心,并对互联网上信息的网站所受到的各种攻击作出了说明,以及如何采用各种技术方法和措施填补漏洞、防范攻击,保障网站安全。
本文以政府部门计算机网络和网站在运行中碰到的安全问题,阐述了如何建设相对安全的网控中心,并对因特网上信息的网站所受到的各种攻击作出了说明,以及如何采用各种技术方法和措施填补漏洞、防范攻击,保障网站安全。
根据国家信息安全漏洞库(CNNVD)统计,2018年10月新增安全漏洞共1495个,从厂商分布来看,Oracle公司产品的漏洞数量最多,共183个;从漏洞类型来看,跨站脚本类的漏洞占比最大,达到12.31%。本月新增漏洞中,超危漏洞17个、高危漏洞254个、中危漏洞999个、低危漏洞225个,相应修复率分别为82.35%、90.55%、74.67%以及66.67%。合计1140个漏洞已有修复补丁,本月整体修复率为76.25%。截至2018年10月31日,CNNVD采集漏洞总量已达117293个。
作者:中国信息安全测评中心 期刊:《中国信息安全》 2018年第04期
一、公开漏洞情况根据国家信息安全漏洞库(CNNVD)统计,2018年3月份新增安全漏洞共1200个,从厂商分布来看,Microsoft公司产品的漏洞数量最多,共74个;从漏洞类型来看,跨站脚本类的漏洞占比最大,达到13.17%。本月新增漏洞中,超危漏洞26个、高危漏洞93个、中危漏洞938个、低危漏洞143个,相应修复率分别为53.85%、78.49%、72.07%以及67.83%。合计860个漏洞已有修复补丁,本月整体修复率71.67%。截至2018年3月31日,CNNVD采集漏洞总量已达1...
根据国家信息安全漏洞库(CNNVD)统计,2018年8月份新增安全漏洞共962个,从厂商分布来看,Google公司产品的漏洞数量最多,共63个;从漏洞类型来看,跨站脚本类的漏洞占比最大,达到12.79%。本月新增漏洞中,超危漏洞6个、高危漏洞54个、中危漏洞676个、低危漏洞226个,相应修复率分别为66.67%、83.33%、68.79%以及61.06%。合计652个漏洞已有修复补丁,本月整体修复率67.78%。
作者:宋啸天; 陈静; 沙鸥 期刊:《江苏通信》 2019年第02期
对于传统的网络钓鱼攻击,传统防御技术是通过检测网站间的统一资源定位符(Uniform Resource Locator,URL)和相似度差异来进行分析。但是,新型网络钓鱼攻击开始使用诸如恶意代码嵌入等形式实施破坏,传统的防御技术发挥的效果微乎其微。因此,本文研究了一种面向新型网络钓鱼攻击的防御方法,旨在提高钓鱼攻击防御的有效性及可靠性,对提升网络整体安全具有一定的现实意义。
作者:王丹; 刘立家; 林九川; 赵文兵; 杜晓林 期刊:《北京工业大学学报》 2018年第09期
为提升跨站脚本(crosssitescripting,XSS)漏洞检测中对隐藏注入点的扫描覆盖率,有效判定是否存在XSS漏洞攻击,提出构建Web应用文档对象模型(documentobjectmodel,DOM)状态转换图搜索XSS漏洞注入点的方法.该方法以DOM状态为节点,以浏览器事件为边对Web应用建模,结合页面分析和技术来识别漏洞注入点,提高XSS漏洞注入点判定准确率.首先分析页面中带参数的统一资源定位符(uniformresourcelocator,URL)和Form表单,并尝试触发页面元素的...
作者:古开元; 周安民 期刊:《网络安全技术与应用》 2005年第12期
本文首先从静态网站和动态网站的区别出发,介绍了跨站脚本形成的原因和攻击的原理,然后说明了跨站脚本攻击所带来的危害,最后针对网站开发人员和网络用户提供了几种最为有效的防范和检测方法.
作者:李维峰 期刊:《电脑编程技巧与维护》 2017年第05期
研究人员和行业专家指出,跨站点脚本(XSS)是Web应用程序中最受黑客欢迎的漏洞之一。跨站点脚本已成为许多网站和Web应用程序的常见漏洞。XSS利用输入验证缺陷,目的是注入恶意代码,随后在受害者的Web浏览器中执行其脚本代码。网络应用程序的跨站点脚本攻击次数近年来有了快速的增长。这要求在服务器端有效的方法来保护应用程序的用户,因为漏洞的原因主要在于服务器端。根据最终用户使用的应用程序平台、中间件技术和浏览器等参数,...
作者:赵越; 姜参 期刊: 2007年第32期
目前全球范围内的电子商务交易额大幅上涨,这一现象的背后也伴随着各种针对电子商务及其支付系统的攻击。其中一些攻击针对广泛使用的通用第三方组件,如购物车纽件;还有一些则基于通用WEB应用的一般弱点.如SQL注入或者是导致在客户端浏览嚣执行任意脚本的跨站点脚本漏洞。这些攻击基于的原理并不复杂却仍造成了巨大的负面影响,本文将就常见的电子商务系统安全隐患进行讨论。
对几起电力企业信息系统的应用安全漏洞案例进行原理分析,并提出相应的防护措施。
作者:王志春 期刊:《通化师范学院学报》 2012年第08期
XSS(跨站脚本)攻击,是恶意用户利用验证上的漏洞将脚本命令嵌入到可以显示的数据中,使其在另一个用户浏览时可以执行这些脚本命令.针对XSS漏洞屡遭攻击这一现状,通过对XSS漏洞的详尽分析,列举了对XSS漏洞攻击的检测方式和方法.根据攻击的特点,为系统的安全提出了相应的防御措施.
作者:沈伍强 唐屹 期刊:《广州大学学报·社会科学版》 2010年第05期
跨站脚本攻击是一类脚本注入攻击,当发生这类攻击时,浏览器所运行的脚本被分作两类:来自应用程序模板的良性脚本和来自其他途径的可疑脚本.文章提出基于脚本封装的抵御跨站脚本攻击的方法ScriptE,该方法采用额外的HTML标签封装良性脚本,然后通过浏览器插件或网页自带的检测脚本,在客户端实现两类脚本的区分,进而抵御可能的跨站脚本攻击,实验验证了所设计的方法.
作者:刘文戈 景红 期刊:《计算机应用》 2009年第B12期
结合JSP在线购物系统开发,重点分析了其安全性。通过JSP系统代码的分析和研究,阐述了JSP系统存在的跨站脚本(XSS)、搜索注入、文本输入柜注入等安全问题的原理和分类,并通过对实例的分析和实验测试,提出了各种安全漏洞的防御策略。
作者:刘海 徐芳 郭帆 期刊:《计算机与现代化》 2011年第08期
跨站脚本(XSS)漏洞是近年来报道最多的一种Web应用程序安全漏洞。目前对其防范研究工作还比较少。本文主要针对防范XSS攻击的研究工作进行综述,包括分析和比较目前各种防范XSS攻击的措施,并指出各种防范措施的优缺点,最后提出一种防范XSS攻击的架构。
介绍了基于HTTP协议传输数据的Ajax技术基本原理和存在的安全问题。了解恶意代码进入web应用程序的一些方式及其攻击所产生的影响,并通过探索一些方法来避免它们。
本文通过分析SQL注入和跨站脚本等具有高风险的漏洞,提出适用于电信网上营业厅应用程序安全设计的解决方案,有效减少存在的安全隐患,提高了电信网上营业厅的安全保障。