期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息

SQLI和XSS漏洞检测与防御技术研究 被引量:7

SQLI and XSS Security Vulnerabilities Research
在线阅读 下载PDF
导出
摘要 文章针对Web安全漏洞中的SQLI和XSS漏洞,介绍了针对这两种漏洞的防御技术,并提出了一种新型的入侵检测系统。该系统采用Curl类库和Web请求,通过API接口分析和检测来自Web应用程序的交互,利用IDS服务器检测应用程序检测攻击行为,存储入侵记录。该技术最大的优势是跨平台性,可应用于多种Web应用程序。 This paper introduces some techniques to detect and prevent against the SQLI and XSS vulnerabilities, which have been ranked at the top in Web application attack mechanisms. Also we develop a new intrusion detection system which analyses and detects the input interactions from the web applications via an API using Curl library and Web request, identifies whether the intrusion occurred or not and prevents it from attacking the web application, and then stores the attack in the intrusion log. The biggest advantage of this technique is that is can be used in a cross platform and several of Web applications.
作者 颜浩 蒋巍 蒋天发
机构地区 中南民族大学计算机科学学院 中国软件评测中心
出处 《信息网络安全》 2011年第12期51-53,共3页 Netinfo Security
基金 国家自然科学基金[40571128] 国家民委重点科研项目[Mzy02004] 湖北省教育厅科研项目[B20110804]
关键词 SQL注入攻击 跨站脚本攻击 PHPIDS 入侵记录 SQLIA XSS PHPIDS intrusion log
分类号 TP393.08 [自动化与计算机技术—计算机应用技术]
  • 相关文献

参考文献9

  • 1F.Dysart, M.Sheriff. Automated Fix Generator for SQL Injection Attacks Software Reliability Engineering[C]19th International Symp. On Software Reliability Engineering, 2008, IEEE. doi:10.1109/ ISSRE.2008.44.311 -312.
  • 2William GJ.Halfond, Alessandro Orso, Panagiotis Manolios. WAP: Protecting Web Applications Using Positive Tainting and Syntax-Aware Evaluation[J]. IEEE Transaction of Software Engineering, 2008,Vol 34, No.1:65-81.
  • 3Tiwari, S.Bansal, R.Bansal. Optimised Client Side Solution for CrossSite Scripting[C]in Proc.2008 16th International Conf. On Networks,NewDelhi, India,2008. 1-4.
  • 4Wurzinger, P.Platzer, C.Ludl, C.Kirda, E.Kruegel , C.Secure SystLab.,Tech.Univ.Vienna. SWAP:Mitigating XSS Attacks using aReverse Proxy[C]in Sofware Engineering for SecureSystems,2009.SESS ' 09.ICSE Workshop.2009.33-39.
  • 5M.Johns,B.Engelmann, J.Poegga. XSSDS:Server-side Detection of Cross site Scripting Attacks oll Computer Security Applications[C]in International Cone ACSAC 2008,Annu. 350-353.
  • 6Ms. R.Priyadarshini, Ms. Jagadiswaree. D, Ms. Fareedha.A, Mr. Janarthanan.M. A Cross Platform Intrusion Detection System using Inter Server Communication Technique[J]. 2011 IEEE 978-1-4577-0590-8/11. 1259-1264.
  • 7蒋巍,蒋天发.基于分布式数据安全入侵检测系统中误用检测算法研究[J].信息网络安全,2009(6):27-30. 被引量:2
  • 8雷建云,余涵,富志伟.一种基于隐藏证书的信任协商系统抗DoS攻击方案[J].中南民族大学学报(自然科学版),2010,29(3):75-78. 被引量:2
  • 9吴经龙,吴立锋.校园网ARP欺骗原理及解决方案[J].中南民族大学学报(自然科学版),2008,27(1):93-95. 被引量:7

二级参考文献15

  • 1洪帆,刘磊.用隐藏证书实现访问策略[J].计算机应用,2005,25(12):2731-2733. 被引量:4
  • 2柳晶,蒋天发.基于Intranet入侵检测的研究[J].中南民族大学学报(自然科学版),2006,25(1):88-90. 被引量:2
  • 3王奇.以太网中ARP欺骗原理与解决办法[J].网络安全技术与应用,2007(2):42-44. 被引量:46
  • 4沈昌祥,张焕国,冯登国,曹珍富,黄继武.信息安全综述[J].中国科学(E辑),2007,37(2):129-150. 被引量:363
  • 5王强,蒋天发.分布式入侵检测系统模型研究[J].计算机工程,2007,33(8):154-156. 被引量:5
  • 6Winsborough W H,Seamons K E,Jones V E.Automated trust negotiation[C] //DARPA.Information Survivability Conference and Exposition.New York:IEEE Press,2000:88-102.
  • 7Winsborough W H,Seamons K E,Jones V E.Towards practical automated trust negotiation[C] //Michael J B.Proc of the 3rd Int′l Workshop on Policies for Distributed Systems and Networks.Washington:IEEE Computer Society Press,2002:92-103.
  • 8Holt J,Bradshaw R,Seamons K E,et al.Hidden credentials[C] //ACM.Proceedings of the 2003 ACM Workshop on Privacy in the Electronic Society.Washington DC:ACM Press,2003:1-8.
  • 9Li J T,Li N H.OACerts:oblivious attribute certificates[C] //ACM.3rd International Conference on Applied Cryptography and Network Security (ACNS 2005).New York:ACM Press,2005:301-316.
  • 10Bradshsw R,Holt J,Semnons K E.Concealing complex polities with hidden credentials[C] //ACM.11th ACM Conference on Computer and Communications Security.Washington DC:ACM Press,2004:146-157.

共引文献8

同被引文献44

  • 1刘金红,陆余良.主题网络爬虫研究综述[J].计算机应用研究,2007,24(10):26-29. 被引量:132
  • 2Symantec Corporation.Symatec Internet Security Threat Report,Trends for January-June 07[R].Volume Ⅻ,2007.
  • 3WIKIPEDIA. Web 2.0[EB/OL]. http://en.wikipedia.org/wiki/ Web_2.0, 2014/2014-08-12.
  • 4OWASP. Top 10 2010-Main[EB/OL]. https://www.owasp.org/ index.php/Top_10_2010-Main, 2010-04-26/2014-08-21.
  • 5OWASP. OWASP Top 10-2013[EB/OL]. http://www.owasp.org. cn/owasp-project/dowrdoad/OWASPTop 102013V 1.2.pdf, 2013/2014- 08-21.
  • 6oschina.SQL 注入的历史教训[EB/OL]. http://www.oschina.net/ translate/sql-inj ection-vulnerability-history, 2014/2014-08-22.
  • 7Aimeur E, Schonfeld D. The ultimate invasion of privacy: Identity theft[C]//Privacy, Security and Trust (PST), 2011 Ninth Annual International Conference on. IEEE, 2011: 24-31.
  • 8github. Checkstyle 5.9[EB/OL]. http://checkstyle.sourceforge.net/, 2014/2014-08-26.
  • 9FindBugs. FindBugsTM-Find Bugs in Java Program[EB/OL]. http:// findbugs.sourceforge.net/, 2014-07-07/2014-08-27.
  • 10WIKIPEDIA. FortifySoftware[EB/OL]. http://en.wikipedia.org/ wiki/Fortify_S oftware, 2014-07-:17/2014-08-27.

引证文献7

二级引证文献39

信息网络安全
2011年 第12期

相关作者

内容加载中请稍等...

相关机构

内容加载中请稍等...

相关主题

内容加载中请稍等...

浏览历史

内容加载中请稍等...
;
使用帮助 返回顶部