针对HTTPS的Web前端劫持及防御研究 被引量：15

1

作者 赵国锋 陈勇 王新恒 《信息网络安全》 2016年第3期15-20,共6页

文章针对HTTPS协议通信流程,详细分析了基于伪造证书与中间人会话劫持的基本方法及原理,指出了常用劫持方法通过后端来操控原始数据流量时的缺陷,并重点提出了一种基于前端XSS脚本注入的更高效的HTTPS会话劫持方法,实现了表单提交、动... 文章针对HTTPS协议通信流程,详细分析了基于伪造证书与中间人会话劫持的基本方法及原理,指出了常用劫持方法通过后端来操控原始数据流量时的缺陷,并重点提出了一种基于前端XSS脚本注入的更高效的HTTPS会话劫持方法,实现了表单提交、动态元素、脚本弹窗、框架页面的劫持。最后详细阐述了Web前端劫持方法的实现原理与流程,并搭建原型系统进行验证,进一步分析给出了HTTPS通信的安全隐患,提出了可行的防范措施。 展开更多

关键词 httpS 会话劫持 XSS 前端劫持 动态元素

在线阅读 下载PDF 职称材料

基于JSP/Servlet的HTTP协议无状态性解决方案 被引量：4

2

作者 冉春玉 陈建军 《武汉理工大学学报》 CAS CSCD 2003年第1期77-80,共4页

基于简单的请求 /响应模型的无状态的 HTTP协议在很多 Web应用中无法满足实际应用需求。论述了 J2 EE平台上 ,利用 cookie和 JSP/ Servlet会话 API进行会话跟踪和管理的方法 。

关键词 http协议 无状态性 解决方案 COOKIE JSP/SERVLET 会话跟踪 数据管理 WWW

在线阅读 下载PDF 职称材料

一种高性能面向交互式系统管理的HTTP/CGI SERVER设计方法的研究

3

作者 陈健 陈俊良 徐永森 《计算机科学》 CSCD 北大核心 2002年第12期73-76,共4页

Web-based management systems are increasingly replacing traditional terminal-based and Xwindows-basedsystems,Producing such a system seems to require a tremendous amount of laborious low-level coding due to theprimiti... Web-based management systems are increasingly replacing traditional terminal-based and Xwindows-basedsystems,Producing such a system seems to require a tremendous amount of laborious low-level coding due to theprimitive nature of CGI programming,it also suffes from the overhead of CGI processing ,perceived latency of Web re-spond and lack of security,we present ideas for the whole new HTTP/CGI Server to solve these problems and give ahigh performance to the management system. 展开更多

关键词 http/CGI 交互式系统 网络管理 计算机网络 SERVER 设计方法

在线阅读 下载PDF 职称材料

模拟HTTP会话实现批量数据上传 被引量：2

4

作者 吴文辉 肖治庭 《电脑编程技巧与维护》 2011年第22期109-111,共3页

基于B/S系统上传数据的功能,用Socket模拟HTTP会话过程,批量处理上传数据。

关键词 SOCKET 模拟http会话 批量处理法

在线阅读 下载PDF 职称材料

基于时序逻辑的HTTP-NG协议分析

5

作者 谢洁锐 刘才兴 +1 位作者 肖德琴 黄忠民 《计算机应用研究》 CSCD 北大核心 2004年第11期78-80,共3页

形式化方法由于其简练、无二义性,在协议工程中有着重要的地位。首先对下一代超文本传输协议(HTTP NG)作了简单介绍,并利用基于时序逻辑MTLP的形式化方法对简化了的HTTP NG模型进行协议描述和分析,其中多种数据结构的引入,使分析更为方便。

关键词 形式化 时序逻辑 下一代超文本传输协议 会话

在线阅读 下载PDF 职称材料

SIP的安全机制及其HTTP摘要认证的改进 被引量：8

6

作者 顾晓辉 施佳佳 郭放 《东华大学学报（自然科学版）》 CAS CSCD 北大核心 2010年第2期165-169,174,共6页

初始会话协议(SIP)在通信领域的应用越来越广泛,但是SIP本身缺乏完善的安全机制使其面临很多的安全威胁.首先分析了SIP面临的主要安全威胁及常见的解决方案,然后讨论了HTTP摘要认证的流程与缺陷,并提出一种改进的HTTP摘要认证,最后结合... 初始会话协议(SIP)在通信领域的应用越来越广泛,但是SIP本身缺乏完善的安全机制使其面临很多的安全威胁.首先分析了SIP面临的主要安全威胁及常见的解决方案,然后讨论了HTTP摘要认证的流程与缺陷,并提出一种改进的HTTP摘要认证,最后结合实验室的软交换系统,实现了改进后的认证方法在软交换系统中的应用开发. 展开更多

关键词 初始会话协议(SIP) 安全 http摘要认证 软交换

在线阅读 下载PDF 职称材料

基于会话劫持的HTTP资源缓存系统设计 被引量：2

7

作者 张全明 张新有 《成都信息工程学院学报》 2013年第4期353-359,共7页

针对目前网络应用需求增长,网络带宽压力增大的问题,利用HTTP会话劫持技术,引导内网用户与缓存系统建立连接来获取所需资源,从而减少出口流量,缓解带宽压力。设计实现了基于HTTP会话劫持的资源缓存系统,能够监听内网用户通信,协议分析过... 针对目前网络应用需求增长,网络带宽压力增大的问题,利用HTTP会话劫持技术,引导内网用户与缓存系统建立连接来获取所需资源,从而减少出口流量,缓解带宽压力。设计实现了基于HTTP会话劫持的资源缓存系统,能够监听内网用户通信,协议分析过滤,结合SQL数据库进行参数记录和流量统计,与客户端重定向劫持的功能。最后对缓存系统进行了功能和性能测试,结果表明系统是正确和有效的。 展开更多

关键词 计算机应用 网络通信 资源缓存 http 会话劫持 WINPCAP 重定向

在线阅读 下载PDF 职称材料

视频监控系统中一种基于HTTP摘要安全认证设计 被引量：2

8

作者 王永建 张健 +2 位作者 铁小辉 杨建华 郭广涛 《信息安全研究》 2016年第12期1114-1121,共8页

在平安城市的建设中,视频监控系统中客户端的安全认证非常关键.为了弥补SIP的不足,设计了一种基于HTTP摘要的认证方案.首先简析了SIP与HTTP协议;设计了视频监控系统整体结构,定义了各主要组成部件的功能.然后设计了登录/注销,获取设备... 在平安城市的建设中,视频监控系统中客户端的安全认证非常关键.为了弥补SIP的不足,设计了一种基于HTTP摘要的认证方案.首先简析了SIP与HTTP协议;设计了视频监控系统整体结构,定义了各主要组成部件的功能.然后设计了登录/注销,获取设备属性列表.最后设计了认证流程、AG的质询消息头、MC的应答消息头、Response参数等实现方案.该设计思路对提高SIP协议的安全性具有一定借鉴意义. 展开更多

关键词 SIP SDP http摘要 质询 应答

在线阅读 下载PDF 职称材料

Struts2框架中Session对象分析及应用研究 被引量：2

9

作者 宋金华 《现代计算机》 2014年第20期41-44,共4页

HTTP是一种无状态的协议,利用HTTP协议无法跟踪用户,即当用户在Web站点的多个页面间切换时候,根本无法记录用户的相关信息。为弥补HTTP协议的缺陷,引入Session会话机制。在Struts2框架中也引入Session机制实现服务器和客户端之间的通信... HTTP是一种无状态的协议,利用HTTP协议无法跟踪用户,即当用户在Web站点的多个页面间切换时候,根本无法记录用户的相关信息。为弥补HTTP协议的缺陷,引入Session会话机制。在Struts2框架中也引入Session机制实现服务器和客户端之间的通信。主要讨论Struts2框架中Session对象的处理机制,并在此基础上做Session对象的应用研究。 展开更多

关键词 STRUTS2 session http

在线阅读 下载PDF 职称材料

网络设备HTTP服务安全威胁及其防范措施 被引量：1

10

作者 倪平 张治兵 +1 位作者 周开波 李莉 《现代电信科技》 2016年第3期21-28,共8页

首先介绍了HTTP协议的基本概念和工作过程等,然后针对HTTP协议的特点,结合网络设备的固有特征,分析了网络设备HTTP所面临的安全威胁,并给出防御措施。

关键词 WEB http 认证 会话管理 文件上传

在线阅读 下载PDF 职称材料

一种基于HTTP摘要的传输网管系统安全认证 被引量：1

11

作者 王永建 董浩 +1 位作者 孙鹏飞 王迅 《网络新媒体技术》 2016年第5期28-33,共6页

针对传输网管系统中客户端的安全接人问题,设计了一种基于HTTP摘要的认证方案。首先简析了SIP与HTTP协议,设计了安全认证系统结构,定义了各主要组成部件的功能。然后设计了登录/注销,认证流程,AG的质询消息头,MC的应答消息头和Response... 针对传输网管系统中客户端的安全接人问题,设计了一种基于HTTP摘要的认证方案。首先简析了SIP与HTTP协议,设计了安全认证系统结构,定义了各主要组成部件的功能。然后设计了登录/注销,认证流程,AG的质询消息头,MC的应答消息头和Response参数等方案。本文的设计思路对提高传输网管系统的安全性具有一定借鉴意义。 展开更多

关键词 传输网管 SIP http摘要 质询 应答

在线阅读 下载PDF 职称材料

面向多媒体系统的HTTP摘要安全认证

12

作者 王永建 朱纪周 +3 位作者 杨建华 闫超 王跃红 宋四海 《软件》 2016年第12期-,共5页

多媒体系统的安全形势非常严峻,客户端是信息安全事故的集中源头,因此,多媒体系统中客户端的安全认证非常关键。为了弥补传统多媒体系统中SIP的不足,设计了一种基于HTTP摘要的认证方案。首先简析了SIP协议与HTTP协议;设计了多媒体系统... 多媒体系统的安全形势非常严峻,客户端是信息安全事故的集中源头,因此,多媒体系统中客户端的安全认证非常关键。为了弥补传统多媒体系统中SIP的不足,设计了一种基于HTTP摘要的认证方案。首先简析了SIP协议与HTTP协议;设计了多媒体系统整体结构,定义了各主要组成部件的功能。然后设计了认证流程,AG的质询消息头,MC的应答消息头和Response参数等方案。本文的设计思路对提高多媒体系统和SIP协议的安全性具有一定借鉴意义。 展开更多

关键词 SIP SDP http摘要 质询 应答

在线阅读 下载PDF 职称材料

Research of Session Initial Protocol Security Mechanism on Public Key Technique

13

作者 HU Jian LI Yuxiang FENG Jiuchao 《Wuhan University Journal of Natural Sciences》 CAS 2011年第5期419-422,共4页

Two common kinds of security mechanisms used in session initial protocol （S1P） are analyzed. An improved HTTP digest authentication scheme is put forward based on the existing SIP authentication theories. This mecha... Two common kinds of security mechanisms used in session initial protocol （S1P） are analyzed. An improved HTTP digest authentication scheme is put forward based on the existing SIP authentication theories. This mechanism is combined with the merits of the HTTP digest authentication and the public key encryption, so the communicating parties complete two-way authentication and public key exchange in pre-calling, and the session key can be randomly generated in post-calling. The mixture of security encryption mechanism with public key encryption and symmetric-key encryption algorithm can ensure the security for network communication data. The emulation of the scheme is verified, and the security analysis is conducted in the end. The researches show that the simulations efficiency of this method is about 78% of HTTP＇s, and it can prevent four kinds of attacks including impersonating a server, offline password guessing attacks, relay-attack, and session monitoring. 展开更多

关键词 session initial protocol （SIP） http digest authentication public key SECURITY

原文传递

基于操作行为的隧道木马检测方法 被引量：10

14

作者 孙海涛 刘胜利 +1 位作者 陈嘉勇 孟磊 《计算机工程》 CAS CSCD 北大核心 2011年第20期123-126,共4页

木马通常利用HTTP隧道技术突破防护设备,对网络安全造成威胁。针对该问题,提出一种利用木马操作行为检测网络中HTTP隧道木马的方法。该方法通过6个统计特征描述正常的HTTP会话,采用HTTP隧道技术发现木马操作之间的差别,利用数据挖掘中C... 木马通常利用HTTP隧道技术突破防护设备,对网络安全造成威胁。针对该问题,提出一种利用木马操作行为检测网络中HTTP隧道木马的方法。该方法通过6个统计特征描述正常的HTTP会话,采用HTTP隧道技术发现木马操作之间的差别,利用数据挖掘中C4.5决策树分类算法对2种会话进行分类。实验结果表明,该方法能检测多种已知的HTTP隧道木马。 展开更多

关键词 http隧道 网络会话 会话特征 木马检测 C4.5决策树

在线阅读 下载PDF 职称材料

基于统计学习的挂马网页实时检测 被引量：3

15

作者 王涛 余顺争 《计算机科学》 CSCD 北大核心 2011年第1期87-90,129,共5页

近年来挂马网页对Web安全造成严重威胁,客户端的主要防御手段包括反病毒软件与恶意站点黑名单。反病毒软件采用特征码匹配方法,无法有效检测经过加密与混淆变形的网页脚本代码;黑名单无法防御最新出现的恶意站点。提出一种新型的、与网... 近年来挂马网页对Web安全造成严重威胁,客户端的主要防御手段包括反病毒软件与恶意站点黑名单。反病毒软件采用特征码匹配方法,无法有效检测经过加密与混淆变形的网页脚本代码;黑名单无法防御最新出现的恶意站点。提出一种新型的、与网页内容代码无关的挂马网页实时检测方法。该方法主要提取访问网页时HTTP会话过程的各种统计特征,利用决策树机器学习方法构建挂马网页分类模型并用于在线实时检测。实验证明,该方法能够达到89.7%的挂马网页检测率与0.3%的误检率。 展开更多

关键词 挂马网页 http会话 决策树 机器学习

在线阅读 下载PDF 职称材料

SIP协议的安全性研究 被引量：21

16

作者 俞志春 方滨兴 张兆心 《计算机应用》 CSCD 北大核心 2006年第9期2124-2126,共3页

SIP协议正成为VoIP通信的主流协议之一。面对复杂、开放的Internet应用环境,SIP协议的安全性有待于进一步改进和提高。文中全面分析了SIP协议面临的安全威胁,并通过模拟攻击实验进行验证,最后提出了其认证机制的改进方法,并部署安全SIP... SIP协议正成为VoIP通信的主流协议之一。面对复杂、开放的Internet应用环境,SIP协议的安全性有待于进一步改进和提高。文中全面分析了SIP协议面临的安全威胁,并通过模拟攻击实验进行验证,最后提出了其认证机制的改进方法,并部署安全SIP解决方案。 展开更多

关键词 SIP协议 http摘要认证 传输层安全

在线阅读 下载PDF 职称材料

一种新型的按需计算的SSL实施方案 被引量：1

17

作者 马琳 罗铁坚 叶世伟 《计算机工程》 CAS CSCD 北大核心 2005年第8期143-144,179,共3页

SSL协议被广泛地应用于保证Web通信协议HTTP的安全性。然而实施SSL导致的开销非常巨大,严重地影响了服务器的性能。该文在SSL协议的基础上提出了一种新的实施方案。这种方案能够动态地根据实际情况决定是否需要建立SSL连接,从而省去了... SSL协议被广泛地应用于保证Web通信协议HTTP的安全性。然而实施SSL导致的开销非常巨大,严重地影响了服务器的性能。该文在SSL协议的基础上提出了一种新的实施方案。这种方案能够动态地根据实际情况决定是否需要建立SSL连接,从而省去了不必要的SSL会话,节约了开销,能够有效地减少由于实施SSL导致的服务器性能下降。该设计已成功地应用在实际系统中的SSL通信模块。 展开更多

关键词 安全套接字层 会话 http

在线阅读 下载PDF 职称材料

基于SIP的安全认证机制的研究及改进 被引量：6

18

作者 李婧 李雪 胡浩 《计算机工程》 CAS CSCD 北大核心 2009年第2期162-163,166,共3页

会话初始协议大部分认证机制只提供服务器到客户端的单向认证,HTTP摘要认证就是其中的一种。该文通过分析其过程,找出认证协议中的安全缺陷,给出攻击者可能进行的攻击。针对协议的安全漏洞,提出一种改进的安全机制,在提供服务器和客户... 会话初始协议大部分认证机制只提供服务器到客户端的单向认证,HTTP摘要认证就是其中的一种。该文通过分析其过程,找出认证协议中的安全缺陷,给出攻击者可能进行的攻击。针对协议的安全漏洞,提出一种改进的安全机制,在提供服务器和客户端之间相互认证的基础上加入加密保护和完整性保护,以保证消息传输的安全性。 展开更多

关键词 会话初始协议 认证 http摘要 安全

在线阅读 下载PDF 职称材料

Web应用中识别用户身份的一种方式 被引量：7

19

作者 李利 王秀峰 《计算技术与自动化》 2004年第3期101-104,共4页

HTTP协议的无状态性使得基于Web的应用不易进行用户身份识别,通过借助JSP内建的session对象保存用户身份信息,根据用户的部门和权限实现Web资源的受控访问。

关键词 用户身份识别 WEB应用 http协议 JSP session对象 基于Web 权限 WEB资源 受控 方式

在线阅读 下载PDF 职称材料

基于Cookie的网盘资源在线溯源方法

20

作者 林海伦 李焱 +2 位作者 王伟平 岳银亮 林政 《通信学报》 EI CSCD 北大核心 2016年第12期77-85,共9页

网盘作为一种基于互联网的信息传播载体,其所分享的敏感资源已经在网络流量中占有越来越多的比例,因此,获取网盘资源的分享链接对于网络安全有着重要的意义。提出了一种高效可扩展的基于Cookie的网盘资源溯源方法—Cookie Tracing。该... 网盘作为一种基于互联网的信息传播载体,其所分享的敏感资源已经在网络流量中占有越来越多的比例,因此,获取网盘资源的分享链接对于网络安全有着重要的意义。提出了一种高效可扩展的基于Cookie的网盘资源溯源方法—Cookie Tracing。该方法通过在海量的HTTP会话中建立Cookie与HTTP会话的索引表来实现网盘资源和下载网盘资源的跳转链的关联,同时通过累计散列算法加快溯源结果的验证。实验结果表明,所提方法具有较好的性能和可扩展性。 展开更多

关键词 网盘资源 分享链接 URL跳转链 COOKIE http会话

在线阅读 下载PDF 职称材料