Design & Test of an Advanced Web Security Analysis Tool (AWSAT)

1

作者 Meenakshi S. P. Manikandaswamy Vijay Madisetti 《Journal of Software Engineering and Applications》 2024年第5期448-461,共14页

Considering the escalating frequency and sophistication of cyber threats targeting web applications, this paper proposes the development of an automated web security analysis tool to address the accessibility gap for ... Considering the escalating frequency and sophistication of cyber threats targeting web applications, this paper proposes the development of an automated web security analysis tool to address the accessibility gap for non-security professionals. This paper presents the design and implementation of an automated web security analysis tool, AWSAT, aimed at enabling individuals with limited security expertise to effectively assess and mitigate vulnerabilities in web applications. Leveraging advanced scanning techniques, the tool identifies common threats such as Cross-Site Scripting (XSS), SQL Injection, and Cross-Site Request Forgery (CSRF), providing detailed reports with actionable insights. By integrating sample payloads and reference study links, the tool facilitates informed decision-making in enhancing the security posture of web applications. Through its user-friendly interface and robust functionality, the tool aims to democratize web security practices, empowering a wider audience to proactively safeguard against cyber threats. 展开更多

关键词 Web Security Automated Analysis Vulnerability Assessment Web Scanning cross-site Scripting SQL Injection cross-site request forgery

在线阅读 下载PDF 职称材料

面向物联网+RFID技术的设备管理系统研究与应用 被引量：8

2

作者 李泽宇 何萍 朱立峰 《中国数字医学》 2019年第11期54-56,53,共4页

针对目前"医联工程"软、硬件设备信息种类繁多、数据量大并且更新频繁、巡检时不能方便查看到设备详情等的问题,从阐述设备管理信息系统的现状入手,在分析物联网及其核心技术的基础上,提出一种面向物联网+RFID技术的医联设备... 针对目前"医联工程"软、硬件设备信息种类繁多、数据量大并且更新频繁、巡检时不能方便查看到设备详情等的问题,从阐述设备管理信息系统的现状入手,在分析物联网及其核心技术的基础上,提出一种面向物联网+RFID技术的医联设备管理系统。分别对系统功能、开发技术、访问安全和应用实现加以论述,重点介绍了RFID的技术实现和系统访问安全性。采用面向物联网+RFID技术的医联设备管理系统,有效地提高了运维人员的工作效率,降低运维工作的成本,也为各级医院的设备管理工作提供了一种新的借鉴方式。 展开更多

关键词 物联网 RFID 设备管理 医联工程 跨域请求伪造

在线阅读 下载PDF 职称材料

Web系统安全问题与防护机制研究 被引量：6

3

作者 陈刚 逯柳 《无线互联科技》 2019年第15期108-109,共2页

文章分析了SQL注入、XSS,CSRF、文件上传漏洞等常见Web系统安全问题的攻击方式和原理,并给出了防护机制和解决方法,能有效提高Web系统运作时的安全性和鲁棒性。

关键词 Web系统安全 结构化查询语言注入 跨站脚本攻击 跨站请求伪造攻击 文件上传漏洞

在线阅读 下载PDF 职称材料

Ajax安全性问题及对策 被引量：3

4

作者 李驰 《宜宾学院学报》 2013年第12期72-76,87,共6页

系统全面地分析了Ajax应用程序的安全隐患,包括Ajax程序对传统Web程序中存在的一些安全隐患如SQL注入攻击、跨站脚本攻击XSS、跨站请求伪造攻击CSRF等进一步加重以及新增的如JSON注入、JSON劫持等额外的安全隐患,对每种情况作了具体的分... 系统全面地分析了Ajax应用程序的安全隐患,包括Ajax程序对传统Web程序中存在的一些安全隐患如SQL注入攻击、跨站脚本攻击XSS、跨站请求伪造攻击CSRF等进一步加重以及新增的如JSON注入、JSON劫持等额外的安全隐患,对每种情况作了具体的分析,给出了对应的解决方法.并针对Ajax程序本身的特点,给出了一个以严格输入验证和Web入侵检测为总体指导思想的解决策略. 展开更多

关键词 Ajax安全隐患 SQL注入 跨站脚本攻击 跨站请求伪造攻击 入侵检测

在线阅读 下载PDF 职称材料

WEB2.0数据交换安全研究

5

作者 武装 侯冬梅 龚汉明 《微计算机信息》 北大核心 2008年第24期23-24,60,共3页

伴随越来越多的网站步入Web2.0时代,在使用Ajax技术提供良好的用户体验的同时,一系列的安全问题也渐渐为人们所关注。本文就Web2.0应用中的数据交换环节,提出具体建议,以降低网络攻击的风险。

关键词 网络安全 跨站点伪造请求

在线阅读 下载PDF 职称材料

预防跨站点假冒请求攻击 被引量：1

6

作者 周安辉 《计算机安全》 2010年第5期99-102,共4页

跨站点假冒请求(CSRF)是利用网页应用程序的隐式认证处理进行入侵的攻击。这些攻击也被称为基于网页漏洞的"沉睡的巨人",因为互联网上的许多网站不能抵御这类攻击,并且网页开发者和安全社区一直严重忽视它们。描述了三种基本... 跨站点假冒请求(CSRF)是利用网页应用程序的隐式认证处理进行入侵的攻击。这些攻击也被称为基于网页漏洞的"沉睡的巨人",因为互联网上的许多网站不能抵御这类攻击,并且网页开发者和安全社区一直严重忽视它们。描述了三种基本的CSRF,希望网页开发者注意这类攻击,并且介绍了一些能预防CSRF攻击的方法。 展开更多

关键词 攻击 漏洞 安全 会话管理 跨站点假冒请求(CSRF)

在线阅读 下载PDF 职称材料

基于Web的酒店点评系统安全测试研究 被引量：3

7

作者 苏乾 侯俊 《电子科技》 2016年第12期148-151,155,共5页

为防范基于Web应用程序的漏洞攻击,文中对一个Web页面的酒店点评系统安全性能进行了测试。研究了该酒店点评系统在运行中各个环节上出现的Web应用程序漏洞。针对其中3种主要漏洞:SQL注入、跨站脚本攻击及跨站请求伪造,根据其产生原理和... 为防范基于Web应用程序的漏洞攻击,文中对一个Web页面的酒店点评系统安全性能进行了测试。研究了该酒店点评系统在运行中各个环节上出现的Web应用程序漏洞。针对其中3种主要漏洞:SQL注入、跨站脚本攻击及跨站请求伪造,根据其产生原理和攻击过程,提出了过滤特殊字符和加密关键传递参数的防御方法,并给出相应的程序代码。测试结果显示,该酒店点评系统能有效地防范Web应用程序漏洞,提高了系统的安全性。 展开更多

关键词 Web酒店点评系统 SQL注入 跨站脚本攻击 跨站请求伪造

在线阅读 下载PDF 职称材料

采用图遍历算法的服务端请求伪造漏洞检测 被引量：5

8

作者 印鸿吉 陈伟 《计算机工程与应用》 CSCD 北大核心 2020年第19期114-119,共6页

针对基于PHP语言开发的Web应用系统,提出了一种基于图遍历算法的服务端请求伪造漏洞检测和利用方法。通过构建抽象语法树,获取每个文件的数据流信息,进而利用数据流中的传递依赖关系构造全局的代码属性图,使用图遍历算法对生成的代码属... 针对基于PHP语言开发的Web应用系统,提出了一种基于图遍历算法的服务端请求伪造漏洞检测和利用方法。通过构建抽象语法树,获取每个文件的数据流信息,进而利用数据流中的传递依赖关系构造全局的代码属性图,使用图遍历算法对生成的代码属性图进行污点分析,得到污点变量的代码传递依赖路径图,最后使用约束求解的方法对路径图中的经过函数信息进行漏洞检测并生成可利用的攻击向量。实验结果表明,这种检测方式相较于传统的静态审计方法能够很好地发现服务端请求伪造漏洞,并能够自动化生成可绕过的攻击向量。 展开更多

关键词 抽象语法树 代码属性图 污点分析 服务端请求伪造 约束求解

在线阅读 下载PDF 职称材料

基于Web渗透测试的CSRF攻击技术分析 被引量：1

9

作者 白沫涵 吕国 席宇艺 《河北建筑工程学院学报》 CAS 2023年第4期252-256,共5页

互联网在给人们带来便利的同时,也产生了严重的网络安全问题,而如何解决这一问题迫在眉睫。渗透测试是通过模拟恶意黑客攻击的方式,来对系统内的漏洞进行挖掘的评估方式。对渗透测试的过程与分类进行介绍,并重点分析被业内人士称为“沉... 互联网在给人们带来便利的同时,也产生了严重的网络安全问题,而如何解决这一问题迫在眉睫。渗透测试是通过模拟恶意黑客攻击的方式,来对系统内的漏洞进行挖掘的评估方式。对渗透测试的过程与分类进行介绍,并重点分析被业内人士称为“沉睡的巨人”的CSRF攻击的基本原理,从不同方面阐述了漏洞产生的原因,总结了一些防御的方法,进行了实验对比。希望在开发过程中,可以重视CSRF攻击带来的严重后果,严加防范。 展开更多

关键词 网络安全 渗透测试 漏洞挖掘 跨站请求伪造攻击

在线阅读 下载PDF 职称材料

一种基于浏览器的CSRF攻击检测方法 被引量：1

10

作者 张靖羽 扈红超 霍树民 《信息工程大学学报》 2021年第2期169-174,共6页

互联网的安全形势日益严重,CSRF漏洞是最严重的Web漏洞之一,如何检测CSRF攻击成为业内热点。目前的CSRF检测技术主要通过验证字段例如Form表单字段、验证Same Origin等传统方式,但字段容易被攻击者更改,从而成功绕过CSRF检测。在验证字... 互联网的安全形势日益严重,CSRF漏洞是最严重的Web漏洞之一,如何检测CSRF攻击成为业内热点。目前的CSRF检测技术主要通过验证字段例如Form表单字段、验证Same Origin等传统方式,但字段容易被攻击者更改,从而成功绕过CSRF检测。在验证字段的基础上,通过进一步分析网页内容,提出一种基于浏览器的CSRF检测方法,首先通过HTTP请求分析初步判断,再进一步分析网页内容检测CSRF攻击,告警提示用户。通过基于Chrome浏览器的扩展插件技术实现所提出的检测方法,并通过实验进行验证与分析。 展开更多

关键词 WEB应用 跨站请求伪造攻击 HTTP请求 SimHash算法 CHROME浏览器

在线阅读 下载PDF 职称材料

互联网企业Web系统易忽视漏洞分析 被引量：5

11

作者 潘志岗 《信息安全研究》 2020年第2期181-187,共7页

随着数字产业的快速发展,互联网企业的数量逐年增长.相比于其他类型的企业,互联网企业的一个显著特征是主体业务基于大量Web系统,因此Web系统的高安全性在互联网企业中尤为重要.Web系统通过丰富的功能给用户带来便捷的同时也引入了许多... 随着数字产业的快速发展,互联网企业的数量逐年增长.相比于其他类型的企业,互联网企业的一个显著特征是主体业务基于大量Web系统,因此Web系统的高安全性在互联网企业中尤为重要.Web系统通过丰富的功能给用户带来便捷的同时也引入了许多安全问题,尤其是近些年频繁发生的用户隐私信息泄露事件,起因大多来源于Web系统的安全缺陷.越来越多的互联网企业开始建设安全应急响应中心,通过各方的安全力量对企业系统进行安全测试和评估,进行安全漏洞的收集和处理,由此可见现代互联网企业对于安全的重视不断提高.基于Web系统的安全现状,通过分析归纳3类互联网企业中易被忽略的典型漏洞,并给出相应的解决办法,以提高互联网企业Web系统的安全性,保障用户信息安全. 展开更多

关键词 WEB安全 渗透测试 跨站请求伪造 跨域资源共享 JSON劫持

在线阅读 下载PDF 职称材料

浅析CSRF攻击方式及防御技术研究 被引量：1

12

作者 孙丹 《科技广场》 2016年第7期78-83,共6页

跨站伪造请求攻击CSRF(Cross-Site Request Forgery)是Web应用攻击中常见的一种攻击方式,通过伪造用户请求来欺骗Web服务器,达到冒充用户身份进行恶意操作的目的。本文描述了CSRF攻击原理及常见的CSRF利用方式,同时着重分析了基于多步... 跨站伪造请求攻击CSRF(Cross-Site Request Forgery)是Web应用攻击中常见的一种攻击方式,通过伪造用户请求来欺骗Web服务器,达到冒充用户身份进行恶意操作的目的。本文描述了CSRF攻击原理及常见的CSRF利用方式,同时着重分析了基于多步场景及绕过Token限制的两种CSRF利用方式,最后针对这两种CSRF利用提出了相应的防御方法。 展开更多

关键词 跨站伪造请求攻击 CSRF WEB服务器 多步场景 TOKEN

在线阅读 下载PDF 职称材料

基于MD5的CSRF防御模块的设计与实现 被引量：3

13

作者 叶超 《信息安全研究》 2019年第3期223-229,共7页

自20世纪90年代互联网向公众开放,使用互联网的人数激增,不论是生活、工作还是学习都与互联网密不可分.很多互联网服务与应用都是以Web形式提供给用户,所以Web应用程序的安全成为重中之重.其中跨站请求伪造(cross-site request forgery,... 自20世纪90年代互联网向公众开放,使用互联网的人数激增,不论是生活、工作还是学习都与互联网密不可分.很多互联网服务与应用都是以Web形式提供给用户,所以Web应用程序的安全成为重中之重.其中跨站请求伪造(cross-site request forgery,CSRF)由于容易被忽略而被称为"沉睡的巨人",其安全隐患较高.针对CSRF攻击模式,研究设计了一种基于MD5消息摘要算法的随机化参数名的CSRF防御模块,该模块主要利用Java过滤器Filter实现,通过为统一资源定位符号(URL)中的参数名称以及Form表单中的参数名称等添加由MD5消息摘要算法生成的随机参数,增加攻击者进行请求伪造的难度,而达到CSRF防御的目的,从而保障用户的安全.测试实验结果表明该方法效果较好,能有效防御CSRF攻击;增加该防御模块对Web服务器的性能影响较小并且在可接受范围内. 展开更多

关键词 WEB安全 跨站请求伪造 MD5消息摘要算法 随机化 过滤器

在线阅读 下载PDF 职称材料

基于随机化参数名的跨站请求伪造防御方法

14

作者 王应军 傅建明 姜百合 《计算机工程》 CAS CSCD 北大核心 2018年第11期158-164,共7页

传统基于客户端的防御方法存在用户体验与兼容性差的问题,容易产生误报和漏报现象,不能有效地防御跨站请求伪造(CSRF)攻击。为此,提出一种对请求参数名随机化的防御方法。通过对网站的统一资源定位器地址中的参数名称,如Form表单中的参... 传统基于客户端的防御方法存在用户体验与兼容性差的问题,容易产生误报和漏报现象,不能有效地防御跨站请求伪造(CSRF)攻击。为此,提出一种对请求参数名随机化的防御方法。通过对网站的统一资源定位器地址中的参数名称,如Form表单中的参数名进行可逆加密,确保在一次会话交互过程中的所有请求的参数名都被随机化,防止攻击者获取参数名信息实施CSRF攻击。基于该方法设计并实现了开源PHP库,并部署在开源的PHP程序上。实验结果证明,与基于Token方法相比,该方法能够更有效地防御CSRF攻击。 展开更多

关键词 WEB安全 跨站请求伪造攻击 基于多样性安全 参数名 随机化

在线阅读 下载PDF 职称材料

基于浏览器的跨站攻击防御系统

15

作者 刘昆 何文婷 何博远 《现代计算机（中旬刊）》 2011年第7期43-45,共3页

提出一种基于客户端,即用户浏览器的防御跨站攻击的思路,首先在用户浏览器编写插件拦截所有的HTTP请求,然后通过分析判断出该请求是不是跨站请求,再由独立的规则服务器向浏览器插件分发规则,借助排除其中允许的跨站请求,那么剩下的跨站... 提出一种基于客户端,即用户浏览器的防御跨站攻击的思路,首先在用户浏览器编写插件拦截所有的HTTP请求,然后通过分析判断出该请求是不是跨站请求,再由独立的规则服务器向浏览器插件分发规则,借助排除其中允许的跨站请求,那么剩下的跨站请求即可以认为是恶意的、不被允许的跨站伪造请求,然后弹出对话框向用户告警,拦截该HTTP请求。 展开更多

关键词 跨站请求伪造攻击 防御系统 规则服务器 浏览器插件

在线阅读 下载PDF 职称材料

CSRF原理以及防护措施 被引量：1

16

作者 杨家 《电脑与电信》 2016年第3期81-83,共3页

CSRF依赖HTTP请求无状态的特性,借助带有强制被攻击者浏览器提交请求的HTML,从而达到攻击的目的。CSRF很难被捕捉,危害极大。本文将深入研究CSRF的工作原理以及有效的防护措施,努力把CSRF危害程度降到最低。

关键词 CSRF 捕捉 欺骗 防护 攻击

在线阅读 下载PDF 职称材料

浅析CSRF攻击及对策 被引量：1

17

作者 陈兵 《计算机光盘软件与应用》 2010年第7期87-87,95,共2页

在互联网攻击技术不断“推陈出新”的今天，种种迹象表明CSRF攻击作为一种新兴的WEB攻击技术已经成极大的威胁了互联网安全，本文针对CSRF（Cross Site Request Forgery）跨站请求伪造攻击进行了简单的解析，揭示了CSRF的攻击原理。并... 在互联网攻击技术不断“推陈出新”的今天，种种迹象表明CSRF攻击作为一种新兴的WEB攻击技术已经成极大的威胁了互联网安全，本文针对CSRF（Cross Site Request Forgery）跨站请求伪造攻击进行了简单的解析，揭示了CSRF的攻击原理。并结合现实情况提出了有针对性的解决方案。CSRF攻击是一种新兴的攻击技术，现在很多站点及IPS供应商都不具备针对这类攻击的防御能力，掌握对此类攻击的对策，对提高互联网安全性意义重大。 展开更多

关键词 CSRF 跨站请求伪造 COOKIES

在线阅读 下载PDF 职称材料

Web网站的安全代码设计 被引量：11

18

作者 戴明星 陈正奎 《信息安全与通信保密》 2010年第10期92-94,共3页

针对Web网站突出的安全问题,详细分析了当前对Web网站安全威胁最严重的3种网络攻击:SQL注入、跨站和跨站请求伪造的实现原理和常用攻击方法,并结合研究和实践提出了具体的防范算法:采用过滤用户提交Web请求中的非法字符串代码实现了SQL... 针对Web网站突出的安全问题,详细分析了当前对Web网站安全威胁最严重的3种网络攻击:SQL注入、跨站和跨站请求伪造的实现原理和常用攻击方法,并结合研究和实践提出了具体的防范算法:采用过滤用户提交Web请求中的非法字符串代码实现了SQL注入及跨站的防范算法,具体代码使用了JSP中的Servlet过滤器实现;采用伪随机数对用户端身份进行持续认证的方式实现了跨站请求伪造算法。 展开更多

关键词 SQL注入 跨站 跨站请求伪造 安全代码

原文传递

CSRF protection in JavaScript frameworks and the security of JavaScript applications

19

作者 Ksenia Peguero Xiuzhen Cheng 《High-Confidence Computing》 2021年第2期7-13,共7页

With JavaScript being the most popular programming language on the web,several new JavaScript frameworks are released every year.A well designed framework may help developers create secure applications.The goal of our... With JavaScript being the most popular programming language on the web,several new JavaScript frameworks are released every year.A well designed framework may help developers create secure applications.The goal of our study is to understand how framework developers can best protect applications developed using their framework.In this work we studied how cross-site request forgery vulnerability is mitigated in several server-side JavaScript frameworks:Express.js,Koa.js,Hapi.js,Sails.js,and Meteor.js.We then analyzed open source applications developed with these frameworks using open source and custom written tools for automated static analysis and identified the percentage of protected applications for each framework.We correlated our analysis results to the implementation levels of mitigating controls in each framework and performed statistical analysis of our results to ensure no other confounding factors were involved.Based on the received outcomes we provide recommendations for framework developers on how to create frameworks that produce secure applications. 展开更多

关键词 JavaScript security Web security Web frameworks Framework analysis cross-site request forgery

在线阅读 下载PDF 职称材料

CRSF攻击机制及防御策略研究 被引量：2

20

作者 龚宇 周安民 李娟 《信息安全与通信保密》 2014年第1期72-74,共3页

跨站点请求伪造(Cross-Site Request Forgery)是一种互联网上广泛存在的网络攻击,它通过第三方伪造用户请求来欺骗服务器端,达到冒充用户身份、行使用户权利的目的。文中通过分析跨站点请求伪造攻击的原理,并模拟其攻击过程、解析攻击... 跨站点请求伪造(Cross-Site Request Forgery)是一种互联网上广泛存在的网络攻击,它通过第三方伪造用户请求来欺骗服务器端,达到冒充用户身份、行使用户权利的目的。文中通过分析跨站点请求伪造攻击的原理,并模拟其攻击过程、解析攻击产生的原因来向读者详细介绍此类攻击的特点,并从服务器端和客户端两个方向讨论了防御此类攻击的策略。 展开更多

关键词 请求伪造 输入过滤 随机参数 双向验证

原文传递