跨站脚本攻击过程与防范策略

跨站脚本攻击与防御一直是网站攻防的重要课题,本文阐述了跨站脚本攻击的定义,根据目前对跨站脚本认识上的混乱,分析了跨站脚本攻击形成的原因及危害,对XXS的攻击原理、XSS攻击的完整过程作了全面剖析,然后针对Web程序存在着跨站脚本过滤不严的问题,从普通浏览网页的用户和Web应用开发者两个方面给出了防御跨站脚本攻击的有效策略.     

论XSS攻击方式和防范措施

随着网络安全问题越来越突出,利用XSS(跨站脚本攻击)进行网络攻击的现象越来越显著.通过对XSS(跨站脚本攻击)漏洞的介绍,通过实例论述一些常见的XSS漏洞攻击的检测方式,分别在普通网络用户和网络管理端两个方面论述了一些相应防范方法.     

Web中XSS攻击检测与防范措施

XSS（跨站脚本）攻击,是恶意用户利用验证上的漏洞将脚本命令嵌入到可以显示的数据中,使其在另一个用户浏览时可以执行这些脚本命令.针对XSS漏洞屡遭攻击这一现状,通过对XSS漏洞的详尽分析,列举了对XSS漏洞攻击的检测方式和方法.根据攻击的特点,为系统的安全提出了相应的防御措施.     

Ajax安全性问题及对策

系统全面地分析了Ajax应用程序的安全隐患,包括Ajax程序对传统Web程序中存在的一些安全隐患如SQL注入攻击、跨站脚本攻击XSS、跨站请求伪造攻击CSRF等进一步加重以及新增的如JSON注入、JSON劫持等额外的安全隐患,对每种情况作了具体的分析,给出了对应的解决方法.并针对Ajax程序本身的特点,给出了一个以严格输入验证和Web入侵检测为总体指导思想的解决策略.     

基于ASP.NET网站防范SQL注入的网络安全技术分析

Web技术在各个领域得到日益广泛的应用,给人们的生活带来了便利,也带来了前所未有的巨大安全风险.目前对Web业务系统,威胁最严重的两种攻击方式是SQL注入攻击（SQL Injection）和跨站脚本攻击（XSS）.文中通过具体案例分析了基于ASP.NET网站的SQL注入攻击主要手段和实现过程,总结了一般的SQL注入攻击的防范措施.     

CCERT清理存暗链及后门的网站

7月教育网整体运行正常,无重大安全事件发生。近期值得关注的安全事件是发生在6月28日晚的新浪微博跨站（XSS）脚本攻击事件。攻击者利用新浪微博中存在的跨站脚本漏洞向微博中的名人用户发送带有攻击链接的微博,当用户点击这些微博信息后就会“中毒”,中毒后的用户会自动向自己的粉丝发送含毒私信和微博,有人点击后会再次中毒,从而达到快速传播的目的。     

一种XSS漏洞检测系统分析与设计

近年来跨站脚本（XSS）漏洞占据十大计算机网络安全漏洞第3名位置,对互联网安全形成严重威胁。目前大多数检测方案无法兼顾反射型、存储型和基于文档对象模型的XSS漏洞。为提高检测准确率,设计一种结合黑盒测试与动态污点分析技术的XSS漏洞检测方案并优化XSS攻击向量选择策略。该策略首先筛选XSS攻击向量模版,检测时对应不同注入点实时生成不同XSS攻击向量,并根据过滤规则集测试结果进行反过滤变换。对比实验表明,该方案可以提高XSS漏洞检测能力,同时检测时间开销较小。     

一种基于攻击向量自动生成的XSS漏洞渗透测试方法

针对XSS漏洞自动化检测方法在检测效率方面的不足,研究了改进的基于渗透测试的检测方法。提出一种攻击向量自动化生成方法,同时使用机器学习算法对生成的攻击向量进行优化和分类,提高漏洞检测效率。在使用攻击向量进行渗透测试前,使用探子算法去除一部分不存在XSS漏洞的页面,以减少测试阶段与Web服务器的交互次数。此外,还对获取的注入点进行去重处理,以避免重复检测不同页面中相同的注入点。实验结果表明,该方法能够有效改善XSS漏洞检测效率。     

ActiveX控件在Web应用程序中的应用

在Web应用程序中存取数据库，无论从界面上还是从速度上远比不上VB或C＋＋对数据库的存取。本文探讨利用VB5．0开发ActiveX控件，完成对ODBC数据源的读写，实现了在Web页面上也能像普通程序那样直接修改服务器数据库中的数据，使得Web页面上的数据修改变得直观简便。     

基于ISAPI的Web安全防护设计与应用

随着Web应用的普及,其安全面临着前所未有的挑战。针对Windows平台中广泛使用的IIS服务器,利用ISAPI在Web应用层设计并实现安全防护系统,可对常见的Web攻击,如SQL注入、XSS攻击、Cookies攻击进行防御。实验表明,该安全防护系统可以在一定程度上保护网站的应用层安全,有效提高网站安全性。