所有提交的EM系统将被重定向到网上投稿系统.作者被要求将文章直接提交给网上投稿系统各自的日志。

跨站脚本漏洞检测综述

Shrivastava Ankita1阿尼尔·拉奥2
  1. M.Tech(信息技术),工程技术研究所,阿尔瓦尔,拉贾斯坦邦技术大学,科塔拉吉,印度
  2. 助理教授,工程与技术研究所,阿尔瓦尔,拉贾斯坦邦技术大学,科塔拉吉,印度
有关文章载于Pubmed谷歌学者

更多相关文章请访问国际电气、电子和仪器工程高级研究杂志

摘要

当今世界依赖互联网。我们可以从几个方面来分析它,如果你考虑到资金转移的例子,那么有几种方式来转移资金,使用万维网,社交网站和社区,如Facebook, Twitter和LinkedIn,邮件服务等,所有这些服务都依赖于网络浏览器。然后通过web浏览器通过不同的协议提供通信。因此,安全漏洞和攻击者可以利用误导或数据黑客攻击通信媒体。本文的主要目的是研究不同的跨站点脚本检测技术,并分析其中存在的循环漏洞,以便将来能够更好地实现循环,提高安全性。

关键字

跨站点脚本,安全漏洞,服务器和客户端通信,web浏览器

介绍

Tomcat apache服务器可以更好地设置客户端服务器环境,并与Java Netbeans结合使用,页面设计采用JSP[1]。通信可以在java中使用servlet来实现。但是servlet代码是神秘的,因此JSP代码是为此目的而嵌入的。
大多数攻击都可能发生在浏览器通信趋势中。在这种情况下,SQL注入攻击也是可能的,因为未经授权的用户可以通过查询添加恶意数据。
例如,我们可以用下面的方式考虑一个表单
.
> < /形式
这都取决于选择查询我们将如何应用它来检索更好的内容。在客户端添加窃取或误导内容的情况下,内容嗅探攻击也是可能的。另一种类型的漏洞是跨站脚本(XSS)攻击[3,4]。在这种情况下,攻击者违反了源应用的原始策略或协议。因此,这类攻击漏洞会随着数据敏感性的增加或降低而带来更多的不良影响。XSS被用来允许攻击者在受害者的浏览器中执行脚本,可以劫持用户会话,破坏网站,插入敌对内容,并进行网络钓鱼攻击。受害者浏览器支持的任何脚本语言也可能成为这种攻击的潜在目标。基于Web的应用程序使用基于Web的通信协议访问,并使用Web浏览器作为图形用户界面。最危险的威胁是篡改文本、pdf文件和图像内容中的数据,称为内容嗅探攻击[5][6][7]。在这种类型的附加中,客户端将接收到数据,但攻击者没有正确或更新数据。
为了自定义HTML歌曲中的回塑性和消化往返延迟,浏览器提供了将程序pandect包含到HTML允许分离的选择,并通过集成到浏览器[8]的解释器完美地捕获。Java Script代码不能与Java Server Pages (JSP)混在一起;JSP代码在服务器端执行,而不是在客户端浏览器[9][10]中执行。Java applet是一种结合技术的选择,允许在客户端机器上下载和执行Java应用程序。java applet平均做了相当远的距离,立即操作浏览器或HTML文档[11]。
本文的其余部分组织如下。第二节的相关工作。在第三节中,我们讨论了问题域。在第4节中,我们将讨论分析。第5节给出了结论和未来的发展方向。最后给出了参考文献。

相关工作

2010年,Zubair M. Fadlullah等人[12]打击对加密协议的攻击;他们提出了一种基于异常的检测系统,使用战略分布的监测存根(MSs)。他们对各种针对加密协议的攻击进行了分类。MSs通过嗅探加密流量,提取用于检测这些攻击的特征,并构建正常的使用行为配置文件。在检测到由于这些正常配置文件的偏差而导致的可疑活动时,MSs会通知受害者服务器,然后受害者服务器可能会采取必要的行动。除了检测攻击外,MSs还可以追溯到攻击的发起网络。他们将这种独特的方法称为DTRAB,因为它同时关注MS级别的Detection和TRAceBack。他们提出的检测和回溯方法的有效性通过大量的模拟和互联网数据集得到验证。
2011年,Misganaw Tadesse Gebre等人[13]提出了一个服务器端入口过滤器,旨在保护易受攻击的浏览器,这些浏览器可能将非HTML文件视为HTML文件。他们的过滤器根据一组潜在危险的HTML元素(一组正则表达式)检查用户上传的文件。实验结果表明,与现有的基于签名的方法相比,所提出的基于自动数据库的方案具有更高的效率和准确性。
2011年,Anton Barua等人开发了一种基于使用HTML和JavaScript解析器进行内容分析的服务器端内容嗅探攻击检测机制,并通过模拟下载测试模拟浏览器行为。他们已经在一个工具中实现了我们的方法,该工具可以集成到用各种语言编写的web应用程序中。此外,他们还为评估目的开发了一个基准测试套件,其中包含良性和恶意文件。他们已经在三个存在内容嗅探漏洞的PHP程序上评估了他们的方法。评估结果表明,该方法可以成功防止恶意文件的上传,从而保护程序免受内容窥探攻击。
Takeshi Matsudat et al.[14]在2012年提出了一种新的针对跨站脚本攻击的检测算法,通过考虑符号的出现位置和出现频率,提取跨站脚本攻击的攻击特征。他们提出的算法从给定的攻击样本中学习攻击特征。他们准备了样本进行学习和测试,以证明他们提出的算法的有效性。结果表明,所提出的检测方法成功地检测了攻击测试样本和正常测试样本。
2012年,Fokko Beekhof等人[15]考虑了基于数字内容指纹的内容识别和认证问题。他们研究了在知情攻击下的信息理论性能。在二进制内容指纹的情况下,在盲目攻击中,探针是独立于原始内容的指纹随机产生的。相反,知情攻击假设攻击者可能有一些关于原始内容的信息,因此能够产生与原始物品对应的真实指纹相关的伪造探针,从而导致错误接受的概率增加。他们演示了攻击者创建与正品指纹相关的仿冒品的能力的影响,并考虑了指纹长度对有限长度系统性能的影响。最后,在对指纹长度的渐近假设下,推导了内容识别系统抵御知情攻击的信息论可达率。
2012年,Dawei Wang等人[16]提出基于有效负载的方法对已知的DOS攻击有效,但无法部署在高速网络上。为了解决这一问题,高速网络中提出了基于流的DOS检测方案,作为有效载荷解决方案的有效补充。作者指出,现有的基于流的解决方案在检测未知攻击和有效识别隐藏在后台流量中的真实攻击流方面存在严重的局限性。此外,现有的解决方案也难以适应攻击动态。为了解决这些问题,他们提出了一种基于人工免疫系统的基于流的DOS检测方案。它们采用树形结构来存储流信息,这样我们可以有效地从流信息中提取有用的特征,从而更好地检测DoS攻击。他们采用邻域负选择(NNS)作为检测算法,检测未知DoS攻击,从大量流量中识别攻击流。由于神经网络具有较强的容忍度,该方案能够快速适应攻击动态。
2013年,Nagarjun, P.M.D.等人[17]提出了无线网络中RTS/CTS攻击的变体。我们在ns2模拟环境中模拟攻击行为,以演示攻击的可行性以及这些攻击对基于802.11的网络的潜在负面影响。他们已经创建了一个应用程序,该应用程序能够为攻击创建测试平台环境,执行RTS/CTS攻击并生成合适的图形来分析攻击行为。他们还简要讨论了在无线网络中检测和减轻这种低速率DoS攻击的可能方法。
2013年,Animesh Dubey等人[6]提出了一种有效的基于web的文件(jsp, html, php),文本(word,文本文件)和PDF文件的分区技术。他们的工作方向是攻击时间检测。出于这个动机,他们主要考虑两个因素,第一是尽量减少时间,第二是文件支持的方向。为了减少时间,我们采用了分区法。他们还对PDF文件应用了分区方法。与传统方法的结果比较表明了该方法的有效性。
2013年,Seungoh Choi et al.[18]根据仿真结果证明Interest flooding attack可以应用于Content Centric Network (CCN)中的Dos (Denial of Service)攻击,这种攻击会影响服务质量。他们希望这有助于给出CCN中DoS的潜在威胁的安全问题。
2013年,Michelle E Ruse等人[19]提出了一种两阶段技术来检测XSS漏洞并防止XSS攻击。在第一阶段,他们将Web应用程序翻译成最近开发的concolic测试工具可用的语言。它们的转换还标识了用于生成测试用例以确定应用程序中的输入/输出依赖关系的输入和输出变量。依赖项指示应用程序中可能在部署应用程序时被利用的漏洞。在第二阶段,根据在第一阶段中确定的输入/输出依赖关系,它们通过包含监视器来自动检测应用程序代码。监控器在运行时检查漏洞的利用情况。除了与现有的XSS攻击检测技术一样高效和有效之外,他们的两阶段方法还能够识别由于(a)条件复制(输入到输出)和(b)从单良性输入连接构建恶意字符串输入而发生的XSS漏洞。

问题域

在讨论了几项研究工作后,我们可以在传统方法中找到一些问题领域,这些问题如下:
1)当数据发送到客户端环境[20]时,我们可以采用RSA, RC4等多种加密技术来保护数据。
2)我们可以在不同的JPEG图像和Flash的方向上工作。
3) web应用中缺少文件上传程序的自动识别和自动响应[21][22]。
4)基于位置和频率的简单可视化跟踪测试也不存在。
5)在文件准备[23]的情况下,可以使用关联、分区和聚类技术来减少时间。
6)如果数据被任何未经授权的用户更改,可以提供阻止功能。因此,其他误导功能将被阻止在授权区域和自动纠正从服务器可以提供。它将提供更好的攻击预防。
7)由于文件格式不同,允许使用混合加密技术,因此最好根据文件格式允许使用不同的加密技术。

分析

经过几篇研究论文的分析。我们提供了在同一领域工作的作者的一些结果分析。基于这些假设,我们强烈建议也可以同时提供强大的标准加密技术,如Blowfish、AES、RC4和内容映射。存储格式的类型也可以从以前的研究中扩展。

结论及未来发展方向

前面描述的技术允许通过服务器端和客户端编程检测和防止web环境中的不同攻击。但攻击者会找到漏洞绕过我们采用的保护机制。因此,本文为这些方向提供了可能的启示。在本文中,我们希望发现可能的攻击场景和可能的补救措施。我们还讨论了礼物的技巧。在未来,我们可以设计一个基于更好的加密技术和映射分类器使能机制的框架来接受不同的文件格式。

表格一览

表的图标
表1

参考文献
























全球科技峰会