关键字 |
| 跨站脚本、安全漏洞、服务器和客户端通信,web浏览器 |
介绍 |
| 客户端服务器环境可以更好地设定的apache Tomcat服务器,它是用于Java Netbeans和页面设计通过JSP [1]。沟通可以通过使用java servlet提供。但是servlet代码是神秘的,为此JSP代码嵌入。 |
| 大部分的攻击可以在浏览器的趋势可能沟通。SQL注入攻击也可能在这种情况下,因为可以通过查询添加恶意数据未经授权的用户。 |
| 例如我们可以考虑以以下的方式形成 |
| <表单动作=“用户条目”> |
| < input type = " text " name = "用户" value = " / > |
| < input type = " submit " value = " submit " / > |
| > < /形式 |
| 然后一切都取决于选择查询,我们将如何获取更好的内容。内容嗅探攻击也可能窃取或误导性将被添加到客户端。另一种类型的漏洞是跨站点脚本(XSS)攻击(3、4)。在这个攻击者破坏原来的政策或协议应用形式原点。这类型的攻击漏洞提供了更多的不良影响的敏感性数据增加或减少。XSS是用来允许攻击者在受害者的浏览器中执行脚本,可以劫持用户会话,破坏网站,插入恶意内容,进行钓鱼攻击。任何脚本语言支持的浏览器也可以潜在的受害者这种攻击的目标。基于Web的应用程序使用基于Web的通信协议和使用Web浏览器访问图形用户界面。最危险的威胁是变更数据的文本,pdf文件和图像内容被称为内容嗅探攻击[5][6][7]。这种类型的附加的数据将被接收端,但攻击者是不正确的或更新的数据。 |
| 定制可塑性在HTML的歌和消化往返延迟,浏览器提供选择包含程序法典到HTML允许离开现在和完美的捕捉的译员集成到浏览器[8]。Java脚本代码不得混合使用Java服务器页面(JSP);JSP代码在服务器端执行,而不是在客户端浏览器[9][10]。Java applet期权购买者结合技术巡航允许Java应用程序的下载和行为,在客户端机器。java applet平均水平确实相当距离马上操作浏览器或HTML文档[11]。 |
| 其余本文组织如下。第二部分的相关工作。在第三节,我们讨论问题域。在第四节我们讨论分析。第五节中给出的结论和未来的发展方向。最后引用。 |
相关工作 |
| 2010年,Zubair m . Fadlullah等。[12]打击攻击加密协议;他们提出一个anomaly-based检测系统采用分布式监视存根(MSs)战略。分类各种攻击的加密协议。海量存储系统(MSs)中,通过嗅探加密流量,提取特征检测这些攻击和构造正常使用行为概要文件。一旦检测到可疑活动由于偏离这些正常的概要,MSs通知受害者服务器,然后采取必要的行动。除了检测攻击,海量存储系统(MSs)中也可以追溯原始网络的攻击。他们叫他们的独特方式DTRAB因为它专注于检测和回溯女士水平。他们提出的检测和回溯方法的有效性验证通过广泛的模拟和网络数据集。 |
| 2011年,Misganaw特盖布里等。[13]提出了一种端入口过滤器,旨在保护脆弱的浏览器可以将HTML文件为HTML文件。他们对一组过滤器检查用户上传的文件有潜在危险的HTML元素(一组正则表达式)。他们的实验结果表明,该automatabased方案是高效和更精确的比现有的基于签名的方法。 |
| 2011年,安东Barua等。[7]开发服务器端内容嗅探攻击检测机制基于内容分析使用HTML和JavaScript解析器并通过模拟下载浏览器行为的仿真测试。他们实现了我们的方法在一个工具,它可以在web应用程序中集成各种语言编写的。此外,他们已经开发出一种基准套件包含善意的和恶意的评价目的文件。他们评估方法在三个现实世界的PHP程序遭受内容嗅探的漏洞。评价结果表明,他们的方法可以安全的程序与内容嗅探攻击成功地防止恶意文件的上传。 |
| 2012年,武Matsudat等。[14]提出了一种新的检测算法提取对跨站脚本攻击的跨站脚本攻击的攻击特点考虑出现的位置和频率的符号。他们的算法学习攻击特性从给定的攻击样本。他们学习和准备样品测试,展示他们的算法的有效性。由于他们提出的检测方法成功检测到攻击测试正常样本和测试样本。 |
| 2012年,Fokko Beekhof等。[15]考虑内容问题的基于数字内容指纹识别和身份验证。他们调查的信息理论下的性能了解的攻击。在二进制内容指纹的情况下,盲目攻击,探针产生随机独立于原始内容的指纹。相反,通知攻击假设攻击者可能有一些原创内容的信息,因而能够产生一个假冒探针,与一个真正的指纹对应一个原始项目,从而导致误接受的概率增加。他们展示能力的攻击者创建的影响假冒商品的指纹与指纹真实项目,并考虑指纹的长度的影响在有限长度系统的性能。最后,信息理论achieveble内容识别系统保持知情的攻击速度渐近假设下导出指纹长度。 |
| 2012年,大为王et al。[16]建议Payload-based已知DOS攻击的方法是有效的但无法被部署在高速网络。为了解决这个问题,流转DOS检测方案已经提出了高速网络的有效补充payload-based解决方案。作者表明,现有的基于流程的解决方案有严重的局限性在检测未知攻击和有效识别真正的攻击流埋在后台流量。此外,现有的解决方案也有困难,适应动态的攻击。为了解决这些问题,他们提出的基于流程的DOS检测方案基于人工免疫系统。他们采用树结构存储流信息,这样我们可以有效地从流信息中提取有用的特性更好的检测DoS攻击。他们雇佣社区负选择(NNS)作为检测算法来检测未知的DoS攻击,并识别攻击来自巨大的流量。因为强烈的NNS公差,提出的解决方案是能够快速地适应动态的攻击。 |
| 2013年,Nagarjun P.M.D.等。[17]提出变异RTS / CTS在无线网络攻击。我们模拟攻击行为在ns2仿真环境来演示攻击的可行性以及潜在的这些攻击802.11基于网络的负面影响。他们已经创建了一个应用程序,这个应用程序有能力创建测试床环境攻击,执行RTS / CTS攻击和生成合适的图表分析攻击的行为。他们还简要讨论可能的方法检测和减轻这样的低利率在无线网络的DoS攻击。 |
| 2013年,Dubey Animesh et al。[6]提出一种有效的分区技术基于web文件(html、jsp、php),文本(词,文本文件)和PDF文件。他们正在检测的方向攻击的时间。这激励他们主要考虑两个因素第一最小化的方向,第二个文件支持的方向。为减少我们使用分区方法的时间。他们还运用PDF文件上的分区方法。结果与传统的技术相比有显示他们的方法的有效性。 |
| 2013年,崔Seungoh等。[18]证明利益洪水攻击可以申请拒绝服务(Dos)在内容中心网络(CCN)基于仿真结果会影响服务质量。他们认为这有助于提供一个安全问题的潜在威胁CCN的DoS。 |
| 2013年,米歇尔·E诡计等。[19]提出一个两阶段技术检测XSS漏洞,防止XSS攻击。在第一阶段,他们将最近开发的Web应用程序语言concolic测试工具是可用的。他们的翻译也确定输入和输出变量,用于生成测试用例确定应用程序中输入/输出的依赖关系。依赖关系表明应用程序中的漏洞可能在应用程序部署时利用。在第二个阶段,基于输入/输出依赖关系决定在第一阶段,他们自动仪器包括监控的应用程序代码。在运行时监控检查利用漏洞。除了高效和有效可用的XSS攻击检测技术、两相的方法也能够识别XSS漏洞导致(a)条件复制(输入输出)和(b)建设恶意输入连接的异常温和的输入字符串。 |
问题域 |
| 讨论一些研究工作后,我们可以有一些问题地区的传统方法: |
| 1)我们可以采用一些像RSA加密技术,RC4等等来保护数据时,数据将被发送到客户端环境[20]。 |
| 2)我们可以工作的方向不同的JPEG图像,Flash也。 |
| 3)失踪的自动识别文件上传程序在web应用程序和自动响应[21][22]。 |
| 4)基于位置和频率的测试简单的可视化跟踪也不见了。 |
| 5)协会、分区和集群技术可用于减少时间的文件准备[23]。 |
| 6)阻塞设备可以提供如果数据改变任何未经授权的用户。所以其他误导者功能将阻止在授权区域和自动更正服务器可以提供。它将提供一个更好的预防攻击。 |
| 7)混合加密技术允许的文件格式是不同的,所以最好将允许不同的加密技术基于文件格式。 |
分析 |
| 经过分析的几个研究论文。我们有一些结果的分析作者在同一领域工作。基于假设我们强烈建议强大的标准加密技术像河豚,AES、RC4和内容映射也可以提供。类型的存储格式还可以扩展从先前的研究。 |
结论和未来的方向 |
| 前面描述的技术允许检测和防止不同的攻击在web服务器和客户端编程环境。但是攻击者发现差距绕过我们采取的保护机制。所以我们的论文在这些方向提供了可能的见解。在本文中,我们想要发现可能的攻击场景和可能的补救措施。我们也讨论当前的技术。在未来我们可以设计一个框架基于更好的加密技术映射分类器实现机制接受不同的文件格式。 |
|
表乍一看 |
 |
| 表1 |
|
|
引用 |
- d·弗拉纳根。JavaScript:明确的指南。2001年12月。第四版。
- ecma - 262, ECMAScript语言规范,1999年。
- 大卫无尽的。跨站脚本攻击的进化。技术报告,iDEFENSE实验室,2002年。
- CERT。咨询ca - 2000 - 02:恶意的HTML标记嵌入到客户端web请求。
- 赛义德·艾哈迈德·卡伊姆兰,Kiran Pandey教授,“基于标签的客户端检测的内容与文件加密和文件SplitterTechnique嗅探攻击”,国际先进的计算机研究期刊》的研究(IJACR),第2卷,第五期,9月3号——2012年。
- AnimeshDubey Ravindra Gupta, Gajendra辛格昌德尔,”一个有效的分区技术来减少攻击检测时间与Web basedText和PDF文件”,国际先进的计算机研究期刊》的研究(IJACR),第三排名第一的Issue-9 3 - 2013。
- 安东Barua HossainShahriar,穆罕默德·Zulkernine“服务器端检测内容嗅探攻击”,2011年22日IEEE软件可靠性工程两。
- 理查德·夏普和大卫·斯科特,“抽象网络安全应用水平,”十一届ACM国际诉讼World Wide WebConference (WWW 2002), 2002年5月7 - 11日。
- 彼得•wurzinger基督教Platzer、基督教Ludl和克里斯托弗·克鲁格尔”交换:减轻使用反向代理XSS攻击,”在2009年研究ICSE车间对安全的系统,软件工程pp.33-39, 2009年。
- EnginKirda NenadJovanovic,克里斯托弗•克鲁格尔和乔凡尼豇豆属“端跨站点脚本保护,”ScienceDirectTrans.computer和安全,pp.184 - 197, 2009。
- NaoIkemiya Noriko Hanakawa,“一个新的Web浏览器包括转移函数的Ajax代码”,在学报21 IEEE / ACMInternational自动化软件工程会议(ASE的06),东京,日本,第352 - 351页,2006年9月。
- Zubair m . Fadlullah TarikTaleb、Athanasios诉Vasilakos Mohsen Guizani Nei加藤,“通过Traffic-Feature DTRAB:打击反对攻击EncryptedProtocols分析”,IEEE / ACM交易网络,18卷,第4期,2010年8月。
- MisganawTadesseGebre, Kyung-Suk Lhee ManPyo香港,“一个强大的防御内容嗅探XSS攻击”,IEEE 2010。
- 松田,t;小泉,d;Sonoda, M。,"Cross site scripting attacks detection algorithm based on the appearance position of characters,"Communications, Computers and Applications (MIC-CCA), 2012 Mosharaka International Conference on , vol., no., pp.65,70, 12-14 Oct. 2012.
- FokkoBeekhof、SviatoslavVoloshynovskiy FarzadFarhadzadeh,知情的攻击”下“内容身份验证和识别,IEEE 2012。
- 大为王;Longtao他;YiboXue;Yingfei盾”,利用人工免疫系统在实时检测未知的DoS攻击,“CloudComputing和智能系统(CCIS), 2012年IEEE第二次国际会议上,vol.02,不。2012年10月30日,pp.646,650 - 11月。1 2012年。
- Nagarjun P.M.D.;库马尔,退役军人;库马尔,c.a;拉维,一个。,"Simulation and analysis of RTS/CTS DoS attack variants in 802.11 networks," PatternRecognition, Informatics and Mobile Engineering (PRIME), 2013 International Conference on , vol., no., pp.258,263, 21-22 Feb. 2013
- Seungoh崔Kwangsoo Kim Seongmin Kim和Byeong-heeRoh“威胁的DoS兴趣洪水袭击做好网络”IEEE 2013。
- 诡计,主机;巴苏,S。,"Detecting Cross-Site Scripting Vulnerability Using Concolic Testing," Information Technology: New Generations (ITNG),2013 Tenth International Conference on , vol., no., pp.633,638, 15-17 April 2013.
- Ashutosh Kumar Dubey, Dubey Animesh Kumar, MayankNamdev Shiv Shakti Shrivastava基于RSA和MD5Algorithm资源“云用户安全认证和分享在Java环境”,CONSEG 2012。
- Bhupendra辛格Thakur SapnaChaudhary,内容嗅探攻击检测在客户机和服务器端:一项调查显示,国际期刊《计算机研究精神文明(IJACR),第三2号发6 - 2013。
- Saket Gupta,”在客户端和服务器安全、自动化的通讯环境”,国际先进的计算机研究期刊》的研究(IJACR)第三第四Issue-13 12 - 2013。
- Ashutosh Kumar Dubey Animesh Kumar Dubey Vipul Agarwal, YogeshverKhandagre,“知识发现Subset-Superset种方法挖掘异构数据与动态支持”,conseg - 2012。
|
菜单
