随着Web2.0时代的到来,Web应用越来越普及并极大的便捷了人们的生活,但随之而来的是日益严峻的Web安全问题,当下危险等级较高的一类Web安全问题是XSS攻击,这类攻击多以获取用户信息为目标,危害十分广泛。防御XSS攻击的最根本、最关键的手段是由开发人员检测出并及时修复应用程序中的XSS漏洞,但目前还没有一个面向开发人员的、专门针对XSS漏洞的检测方法。本课题立足于为开发人员服务的应用场景,建立了专门的XSS漏洞检测模型,对于帮助开发人员检测出自己开发的Web应用中的XSS漏洞具有一定实际意义。
论文部分内容阅读
随着Web2.0时代的到来,Web应用越来越普及并极大的便捷了人们的生活,但随之而来的是日益严峻的Web安全问题,当下危险等级较高的一类Web安全问题是XSS攻击,这类攻击多以获取用户信息为目标,危害十分广泛。防御XSS攻击的最根本、最关键的手段是由开发人员检测出并及时修复应用程序中的XSS漏洞,但目前还没有一个面向开发人员的、专门针对XSS漏洞的检测方法。本课题立足于为开发人员服务的应用场景,建立了专门的XSS漏洞检测模型,对于帮助开发人员检测出自己开发的Web应用中的XSS漏洞具有一定实际意义。
首先,研究了当下XSS漏洞检测的研究现状,对比分析了现有白盒检测方法和黑盒检测方法的设计思想以及优缺点,讨论了为开发人员服务的应用场景下单纯黑盒检测或白盒检测的不适应性,提出了灰盒检测思路。
其次,分析了XSS漏洞检测的目标及痛难点,制定了详细的模型设计目标,根据该目标构建起了基于网络爬虫和模糊测试的多层次灰盒XSS漏洞检测模型,详细介绍了模型各层的设计原理,重点阐述了网络爬虫的设计方法和攻击向量库的生成规则以及漏洞的分类检测方法。
再次,结合模型框架的层次结构和设计原理,分析了模型各层实现时要解决的关键问题,给出了解决问题的方法和使用的关键技术,重点阐述了基于ASP.NET框架处理源码和生成攻击向量的方法以及基于Scrapy框架实现检测点提取和漏洞检测的方法。
最后,根据模型实现了XSS漏洞检测系统,设计了一组对比测试实验,用本系统和当下常用的检测工具对同一Web应用进行了XSS漏洞检测,统计了两者的检测结果,分析了本系统的检测效率和准确率,验证了模型的有效性。
其他文献
离群点检测是数据挖掘领域中的热点问题之一,可以在庞大数据中挖掘出极少包含具有关键信息的数据,在日常生活和工作中应用十分的广泛。故离群点检测得到了国内外诸多学者的热切关注和研究,并提出了大量的离群点检测方法。本文深入分析了基于密度的离群点检测方法,对该方法在具有不同特征数据集上存在检测精度低,误报率高的问题提出了改进策略,旨在提高离群点的检测精度。本文的主要内容分为以下三个部分。
首先,本文针对LOF算法对于未知离群点个数的数据集的参数敏感性问题,和在密度分布不均数据集,不规则形状数据集上检测精度
【中图分类号】G633.23 【文献标识码】B 【文章编号】2095-3089(2015)25-0-01 当前我国基础教育领域正在实现由“应试教育”向“素质教育”的重大转变。而素质教育的根本宗旨在提高全民族的素质,其要义是使全体学生得到主动全面的发展。因此,素质教育是从教育的本质功能出发的,其对立面是“应试教育”。主体教育是针对我国教育中存在的忽视学生的主体地位的弊端而提出的,其要义是培养学生的
【中图分类号】G623.2 【文献标识码】B 【文章编号】2095-3089(2015)25-0-01 六年级汉语复习是学习过程中的重要组成部分,是对教材教学内容进行梳理、对学生知识掌握情况进行整理的活动过程。它是把六年来所学到的孤立的、分散的各类知识分门别类综合起来复习,使知识系统化、条理化,对知识起到梳理、综合、巩固、深化的作用。因此,有效的复习指导,不仅有助于学生整体水平的提高,而且可以获
【中图分类号】G64.24 【文献标识码】A 【文章编号】2095-3089(2015)25-0-02 中学英语教学中,语法教学的弊端尤其突出。究其原因,主要有三: 一、 中学英语教学传统上受语法翻译法( The Grammar-Translation Method )的深刻影响,而这种教学法还是十八世纪的欧洲用来进行拉丁语和希腊语教学所采用的传统方法,有着相当明显的弊端,已不适应现代的外语教
【中图分类号】G633.2 【文献标识码】B 【文章编号】2095-3089(2015)25-0-01 随着教学改革的不断深化,多媒体已成为提高教学质量的重要手段。中学维吾尔语语文教学中,多媒体的恰当运用,使枯燥的教学内容变得有声有色,感知过程活灵活现,从而调动起学生的主观能动性,产生事半功倍的效果。下面我就如何在教学中利用多媒体提高中学维吾尔语语文教学效率谈几点感受。 一、运用多媒体,化难为
【中图分类号】G623.2 【文献标识码】B 【文章编号】2095-3089(2015)25-0-01 一、努力营造一个听英语的语言环境 良好的语言环境使人无师自通。人们可以在充分的语言环境中通过大量接触使用语言,自然不知不觉地学会了这种语言。听力的培养主要靠后天的努力,中国学生多半时间输入的信息仍是母语,学英语难就难在没有学英语的环境。为此教师在教学中必须充分利用有限的课堂时间,尽可能多地为
【摘 要】 小学数学作业评价是实施数学学习评价的重要组成部分,是向学生反馈学习情况的一种形式。文中,笔者从教师批改作业的现状和学生对作业批改的看法透视了对作业评价的思考,并做了以下努力和尝试。(一)批语评价,激活创新意识;(二)符号评价,培养乐学情感;(三)延迟评价,激发学习动力;(四)协商评价,维护学生自尊。只有这样,真正使评价服务于学生的全面发展。 【关键词】 评价;调控;激励;诊断 【中
【摘 要】 对自制力较弱,依赖性较强的小学生,教师要以生为本,落实生本课堂;通过创设情境,营造生趣的课堂;以疑激思,让课堂充满生机。通过激发学生学习的内在动力,逐步引导孩子走上自主语文的学习之路。 【关键词】 生本;生趣;生机 【中图分类号】G62.22 【文献标识码】A 【文章编号】2095-3089(2015)25-0-01 新课程改革以来,以学生为主体,倡导自主、合作、探究的学习方式成
随着区块链技术已经应用到金融、教育、能源等众多领域,区块链的基础理论研究也不容忽视。为了提高区块链系统的性能,本文基于连续时间闸门服务排队理论建模区块链系统的工作流程,进行性能评估和系统优化。
首先,针对批量验证的轻负载区块链系统,建立带有批量服务的闸门休假排队模型。该模型考虑到一个区块中包含的交易同时得到验证的情况。利用嵌入马尔克夫链方法和再生循环法,得到交易平均确认时间的表达式。基于收益-支出结构,构建收益函数,研究交易的纳什均衡行为和社会最优行为。面向交易制定合理的收费方案,进而达到区块链
作为数字货币的底层支撑技术,区块链技术已经成为研究热点,受到各行各业的广泛关注。区块链的应用因其去中心化、分布式、透明性等特性呈现爆炸性增长。然而,区块链理论基础尚未成熟。区块链的研究仍然是一个开放问题,迫切需要进行性能分析和研究。本文立足于区块链系统的运行流程,基于连续时间限量批服务对区块链进行建模,研究区块链的性能及优化问题。
首先,针对重负载区块链系统,将区块的生成过程视为休假过程,区块的验证与链接过程视为服务过程,在连续时间领域,建立一种融合批量服务与限量服务的非空竭排队模型。运用再生循