关键字
跨站点脚本,安全漏洞,服务器和客户端通信,web浏览器
介绍
Tomcat apache服务器可以更好地设置客户端服务器环境,并与Java Netbeans结合使用,页面设计采用JSP[1]。通信可以在java中使用servlet来实现。但是servlet代码是神秘的,因此JSP代码是为此目的而嵌入的。
大多数攻击都可能发生在浏览器通信趋势中。在这种情况下,SQL注入攻击也是可能的,因为未经授权的用户可以通过查询添加恶意数据。
例如,我们可以用下面的方式考虑一个表单
.
> < /形式
这都取决于选择查询我们将如何应用它来检索更好的内容。在客户端添加窃取或误导内容的情况下,内容嗅探攻击也是可能的。另一种类型的漏洞是跨站脚本(XSS)攻击[3,4]。在这种情况下,攻击者违反了源应用的原始策略或协议。因此,这类攻击漏洞会随着数据敏感性的增加或降低而带来更多的不良影响。XSS被用来允许攻击者在受害者的浏览器中执行脚本,可以劫持用户会话,破坏网站,插入敌对内容,并进行网络钓鱼攻击。受害者浏览器支持的任何脚本语言也可能成为这种攻击的潜在目标。基于Web的应用程序使用基于Web的通信协议访问,并使用Web浏览器作为图形用户界面。最危险的威胁是篡改文本、pdf文件和图像内容中的数据,称为内容嗅探攻击[5][6][7]。在这种类型的附加中,客户端将接收到数据,但攻击者没有正确或更新数据。
为了自定义HTML歌曲中的回塑性和消化往返延迟,浏览器提供了将程序pandect包含到HTML允许分离的选择,并通过集成到浏览器[8]的解释器完美地捕获。Java Script代码不能与Java Server Pages (JSP)混在一起;JSP代码在服务器端执行,而不是在客户端浏览器[9][10]中执行。Java applet是一种结合技术的选择,允许在客户端机器上下载和执行Java应用程序。java applet平均做了相当远的距离,立即操作浏览器或HTML文档[11]。
本文的其余部分组织如下。第二节的相关工作。在第三节中,我们讨论了问题域。在第4节中,我们将讨论分析。第5节给出了结论和未来的发展方向。最后给出了参考文献。
相关工作
2010年,Zubair M. Fadlullah等人[12]打击对加密协议的攻击;他们提出了一种基于异常的检测系统,使用战略分布的监测存根(MSs)。他们对各种针对加密协议的攻击进行了分类。MSs通过嗅探加密流量,提取用于检测这些攻击的特征,并构建正常的使用行为配置文件。在检测到由于这些正常配置文件的偏差而导致的可疑活动时,MSs会通知受害者服务器,然后受害者服务器可能会采取必要的行动。除了检测攻击外,MSs还可以追溯到攻击的发起网络。他们将这种独特的方法称为DTRAB,因为它同时关注MS级别的Detection和TRAceBack。他们提出的检测和回溯方法的有效性通过大量的模拟和互联网数据集得到验证。
2011年,Misganaw Tadesse Gebre等人[13]提出了一个服务器端入口过滤器,旨在保护易受攻击的浏览器,这些浏览器可能将非HTML文件视为HTML文件。他们的过滤器根据一组潜在危险的HTML元素(一组正则表达式)检查用户上传的文件。实验结果表明,与现有的基于签名的方法相比,所提出的基于自动数据库的方案具有更高的效率和准确性。
2011年,Anton Barua等人开发了一种基于使用HTML和JavaScript解析器进行内容分析的服务器端内容嗅探攻击检测机制,并通过模拟下载测试模拟浏览器行为。他们已经在一个工具中实现了我们的方法,该工具可以集成到用各种语言编写的web应用程序中。此外,他们还为评估目的开发了一个基准测试套件,其中包含良性和恶意文件。他们已经在三个存在内容嗅探漏洞的PHP程序上评估了他们的方法。评估结果表明,该方法可以成功防止恶意文件的上传,从而保护程序免受内容窥探攻击。
Takeshi Matsudat et al.[14]在2012年提出了一种新的针对跨站脚本攻击的检测算法,通过考虑符号的出现位置和出现频率,提取跨站脚本攻击的攻击特征。他们提出的算法从给定的攻击样本中学习攻击特征。他们准备了样本进行学习和测试,以证明他们提出的算法的有效性。结果表明,所提出的检测方法成功地检测了攻击测试样本和正常测试样本。
2012年,Fokko Beekhof等人[15]考虑了基于数字内容指纹的内容识别和认证问题。他们研究了在知情攻击下的信息理论性能。在二进制内容指纹的情况下,在盲目攻击中,探针是独立于原始内容的指纹随机产生的。相反,知情攻击假设攻击者可能有一些关于原始内容的信息,因此能够产生与原始物品对应的真实指纹相关的伪造探针,从而导致错误接受的概率增加。他们演示了攻击者创建与正品指纹相关的仿冒品的能力的影响,并考虑了指纹长度对有限长度系统性能的影响。最后,在对指纹长度的渐近假设下,推导了内容识别系统抵御知情攻击的信息论可达率。
2012年,Dawei Wang等人[16]提出基于有效负载的方法对已知的DOS攻击有效,但无法部署在高速网络上。为了解决这一问题,高速网络中提出了基于流的DOS检测方案,作为有效载荷解决方案的有效补充。作者指出,现有的基于流的解决方案在检测未知攻击和有效识别隐藏在后台流量中的真实攻击流方面存在严重的局限性。此外,现有的解决方案也难以适应攻击动态。为了解决这些问题,他们提出了一种基于人工免疫系统的基于流的DOS检测方案。它们采用树形结构来存储流信息,这样我们可以有效地从流信息中提取有用的特征,从而更好地检测DoS攻击。他们采用邻域负选择(NNS)作为检测算法,检测未知DoS攻击,从大量流量中识别攻击流。由于神经网络具有较强的容忍度,该方案能够快速适应攻击动态。
2013年,Nagarjun, P.M.D.等人[17]提出了无线网络中RTS/CTS攻击的变体。我们在ns2模拟环境中模拟攻击行为,以演示攻击的可行性以及这些攻击对基于802.11的网络的潜在负面影响。他们已经创建了一个应用程序,该应用程序能够为攻击创建测试平台环境,执行RTS/CTS攻击并生成合适的图形来分析攻击行为。他们还简要讨论了在无线网络中检测和减轻这种低速率DoS攻击的可能方法。
2013年,Animesh Dubey等人[6]提出了一种有效的基于web的文件(jsp, html, php),文本(word,文本文件)和PDF文件的分区技术。他们的工作方向是攻击时间检测。出于这个动机,他们主要考虑两个因素,第一是尽量减少时间,第二是文件支持的方向。为了减少时间,我们采用了分区法。他们还对PDF文件应用了分区方法。与传统方法的结果比较表明了该方法的有效性。
2013年,Seungoh Choi et al.[18]根据仿真结果证明Interest flooding attack可以应用于Content Centric Network (CCN)中的Dos (Denial of Service)攻击,这种攻击会影响服务质量。他们希望这有助于给出CCN中DoS的潜在威胁的安全问题。
2013年,Michelle E Ruse等人[19]提出了一种两阶段技术来检测XSS漏洞并防止XSS攻击。在第一阶段,他们将Web应用程序翻译成最近开发的concolic测试工具可用的语言。它们的转换还标识了用于生成测试用例以确定应用程序中的输入/输出依赖关系的输入和输出变量。依赖项指示应用程序中可能在部署应用程序时被利用的漏洞。在第二阶段,根据在第一阶段中确定的输入/输出依赖关系,它们通过包含监视器来自动检测应用程序代码。监控器在运行时检查漏洞的利用情况。除了与现有的XSS攻击检测技术一样高效和有效之外,他们的两阶段方法还能够识别由于(a)条件复制(输入到输出)和(b)从单良性输入连接构建恶意字符串输入而发生的XSS漏洞。
问题域
在讨论了几项研究工作后,我们可以在传统方法中找到一些问题领域,这些问题如下:
1)当数据发送到客户端环境[20]时,我们可以采用RSA, RC4等多种加密技术来保护数据。
2)我们可以在不同的JPEG图像和Flash的方向上工作。
3) web应用中缺少文件上传程序的自动识别和自动响应[21][22]。
4)基于位置和频率的简单可视化跟踪测试也不存在。
5)在文件准备[23]的情况下,可以使用关联、分区和聚类技术来减少时间。
6)如果数据被任何未经授权的用户更改,可以提供阻止功能。因此,其他误导功能将被阻止在授权区域和自动纠正从服务器可以提供。它将提供更好的攻击预防。
7)由于文件格式不同,允许使用混合加密技术,因此最好根据文件格式允许使用不同的加密技术。
分析
经过几篇研究论文的分析。我们提供了在同一领域工作的作者的一些结果分析。基于这些假设,我们强烈建议也可以同时提供强大的标准加密技术,如Blowfish、AES、RC4和内容映射。存储格式的类型也可以从以前的研究中扩展。
结论及未来发展方向
前面描述的技术允许通过服务器端和客户端编程检测和防止web环境中的不同攻击。但攻击者会找到漏洞绕过我们采用的保护机制。因此,本文为这些方向提供了可能的启示。在本文中,我们希望发现可能的攻击场景和可能的补救措施。我们还讨论了礼物的技巧。在未来,我们可以设计一个基于更好的加密技术和映射分类器使能机制的框架来接受不同的文件格式。
表格一览
表1
参考文献
d·弗拉纳根。JavaScript:权威指南。2001年12月。第四版。
ECMA-262, ECMAScript语言规范,1999。
大卫无尽的。跨站点脚本攻击的演变。技术报告,iDEFENSE实验室,2002。
CERT. Advisory CA-2000-02:恶意HTML标记嵌入客户端web请求。
Syed Imran Ahmed Qadri, Kiran Pandey教授,“基于标签的内容嗅探攻击客户端检测与文件加密和文件分割技术”,国际高级计算机研究杂志(IJACR),第2卷,第3期,第5期,2012年9月。
AnimeshDubey, Ravindra Gupta, Gajendra Singh Chandel,“一种基于Web的文本和PDF文件的有效分区技术,减少攻击检测时间”,国际高级计算机研究杂志(IJACR),第3卷第1期第9期,2013年3月。
Anton Barua, HossainShahriar和Mohammad Zulkernine,“内容嗅探攻击的服务器端检测”,2011年第22届IEEE软件可靠性工程国际研讨会。
Richard Sharp和David Scott,“抽象应用层Web安全”,发表于第11届ACM国际万维网会议(WWW 2002), 2002年5月7-11日。
Peter wurzinger, Christian Platzer, Christian Ludl和Christopher Kruegel,“SWAP:使用反向代理减轻跨站攻击”,2009年ICSE安全系统软件工程研讨会,第33-39页,2009。
李志伟,“客户端跨站点脚本保护”,《计算机与安全》,2009年第4期。
NaoIkemiya和Noriko Hanakawa,“一种新的Web浏览器,包括可转换到Ajax代码的功能”,第21届IEEE/ acinternational自动化软件工程会议论文集(ASE '06),日本东京,351-352页,2006年9月。
Zubair M. Fadlullah, TarikTaleb,Athanasios V. Vasilakos, Mohsen Guizani和Nei Kato,“DTRAB:通过流量特征分析对抗加密协议攻击”,IEEE/ACM网络学报,第18卷,第4期,2010年8月。
MisganawTadesseGebre, Kyung-Suk Lhee和ManPyo Hong,“针对内容嗅探XSS攻击的强大防御”,IEEE 2010。
松田,t;小泉,d;Sonoda, M.,“基于字符外观位置的跨站点脚本攻击检测算法”,通信,计算机与应用(MIC-CCA), 2012年Mosharaka国际会议,卷,no. 1。,第65、70页,2012年10月12-14日。
FokkoBeekhof, SviatoslavVoloshynovskiy,FarzadFarhadzadeh,“知情攻击下的内容认证和识别”,IEEE 2012。
大为王;Longtao他;YiboXue;董英飞,“利用人工免疫系统实时检测未知DoS攻击,”云计算与智能系统(CCIS), 2012年第2届国际学术会议,vol.02, no. 1。,页646,650,2012年10月30日- 11月。1 2012年。
Nagarjun P.M.D.;库马尔,退役军人;库马尔,c.a;Ravi, A.,“802.11网络中RTS/CTS DoS攻击变体的模拟和分析”,模式识别,信息学和移动工程(PRIME), 2013年国际会议,卷,no. 2。, 2013年2月21-22日,页258,263
Seungoh Choi, Kwangsoo Kim, Seongmin Kim,和Byeong-heeRoh,“以内容为中心的网络中兴趣泛滥攻击的DoS威胁”IEEE 2013。
诡计,主机;Basu, S.,“使用共曲测试检测跨站点脚本漏洞”,信息技术:新一代(ITNG),2013年第十届国际会议,卷,no. 1。, 2013年4月15-17日,第633,638页。
Ashutosh Kumar Dubey,Animesh Kumar Dubey, MayankNamdev, Shiv Shakti Shrivastava,“基于RSA和md5算法的Java环境中资源认证和共享的云用户安全”,congre2012。
Bhupendra Singh Thakur, sapnachadhary,客户端和服务器端的内容嗅探攻击检测:一项调查,国际高级计算机研究杂志(IJACR),第3卷第2期-10年6月。
Saket Gupta,“客户端和服务器环境中的安全与自动化通信”,国际高级计算机研究杂志(IJACR)第3卷第4期-2013年12月13日。
Ashutosh Kumar Dubey, Animesh Kumar Dubey, Vipul Agarwal, YogeshverKhandagre,“基于子集-超集的知识发现方法在动态支持下挖掘异构数据”,2012。