关键字 |
| 社交网络,脚本攻击,XSS攻击,恶意攻击,黑客,饼干。 |
我的介绍。 |
| 随着互联网的发展增加迅速攻击向量也迅速增加,他们可能会降低性能,通过黑客行为的过程。黑客手段发现计算机或计算机网络,利用他们的弱点,虽然这个词还可以指人一个先进的计算机和计算机网络的理解。黑客可能会出于多种原因,如利润、抗议,或挑战。进化的亚文化黑客通常被称为计算机地下但现在是一个开放的社会。而其他黑客这个词的使用与计算机安全的存在,他们很少使用主流的上下文。它们在长期黑客的定义争论黑客这个词的真正含义。在这个争议,黑客这个词是被电脑程序员认为有人闯入电脑是更好的饼干,不做区别计算机罪犯(黑帽)和计算机安全专家(白帽)。一些白帽黑客声称他们也应该标题黑客和,只有黑帽子应该叫饼干。 |
| 网络安全 |
| Web应用程序已成为信息的最重要手段之一,各种各样的用户和服务提供者之间的通信。CERT(计算机紧急响应小组)发表一个顾问在新发现的安全漏洞影响所有web应用程序。有三个已知的变异的跨站脚本:反映一个页面直接反映用户提供的数据返回给用户。存储需要恶意数据,将其存储在一个文件,一个数据库,或其他后端系统,然后在稍后的阶段,将数据显示给用户,过滤。DOM注入——网站的JavaScript代码和变量操纵,而不是HTML元素。攻击通常是用JavaScript实现的,这是一个功能强大的脚本语言。 |
| 使用JavaScript允许攻击者操纵呈现页面的任何功能,包括添加新的元素,操纵DOM树内部的任何方面,和删除或更改页面的格式。最初,一个浏览器窗口可以窃取数据从另一个浏览器窗口同时打开多个浏览器窗口时。允许用户端定制的网络信息,饼干实施。他们的信息由一个Web服务器和存储在用户的电脑,准备未来的访问。饼干是嵌入在HTML信息之间来回流动用户的电脑和服务器。因为饼干中的信息是交通便利,袭击者突然通过跨站脚本,并使用他们劫持会话,和妥协的账户。 |
| 允许用户端定制的网络信息,饼干实施。他们的信息由一个Web服务器和存储在用户的电脑,准备未来的访问。饼干是嵌入在HTML信息之间来回流动用户的电脑和服务器。因为饼干中的信息是方便的,攻击者通过跨站脚本弹出,用它们来劫持会话,和妥协的账户。 |
 |
| 网站攻击 |
| 恶意软件的发展增加了利用网络。范围进一步延伸不仅仅是恶意脚本嵌入在web页面,例如:大量下载木马使用web作为一个简单的文件存储库,通过HTTP下载其他恶意文件。恶意脚本访问托管在攻击网站等待脆弱的客户机浏览器之前释放利用代码为了感染的受害者。妥协的网站提供了一个方便的机制暴露大量的受害者恶意代码。发邮件和诱人的网站是用来吸引受害者恶意代码。恶意软件可能投放流量重定向载荷。在线广告是一个数十亿美元的业务。 |
| 增加网站流量的网站指导或参考用户提供了一种机制对组织和个人通过从属营销赚钱。类的应用程序集成的浏览器来显示目标广告通常被称为广告软件。今天这样的软件是司空见惯,经常与其他应用程序捆绑(“广告软件”)。网络为恶意软件作者提供了完美的框架上面列出的技术融合在一起。今天的威胁巧妙地将垃圾邮件和网络“鱼饵”,利用脚本有效感染毫无戒心的受害者。图1.1提供了一个概述的一些关键角色的网络在当前的恶意攻击。 |
二世。问题陈述 |
| 他们是许多web漏洞确实存在在web应用程序中,但是根据2012年OWASP的报告。他们报道的大多数web漏洞可以有效地使应用程序降低其性能、跨站脚本攻击、SQL注入攻击和恶意文件执行攻击。本研究主要是对消除这些漏洞。这些攻击的简短描述已经在即将到来的几节描述。 |
| 跨站脚本 |
| 跨站点脚本(XSS)是一种计算机安全漏洞通常发现在Web应用程序中,使攻击者能够注入端脚本的网页被其他用户。跨站点脚本漏洞可能被攻击者绕过访问控制如同源策略。跨站点脚本进行网站占大约80%的所有安全漏洞2009年赛门铁克的记录。它们可能的影响范围从琐碎的麻烦重大安全风险,根据数据的敏感性由脆弱的网站和任何安全减灾的本质实现的网站所有者。 |
| 没有单一的、标准化的跨站点脚本漏洞分类,但大多数专家区分至少两个主要香味持久,持久XSS。有消息进一步将这两组分为传统(服务器端代码缺陷所致)和基于dom(在客户端代码)。跨站点脚本(XSS)攻击技术,包括呼应attacker-supplied代码到用户的浏览器实例。一个浏览器实例可以是一个标准的web浏览器客户端,或者一个浏览器对象嵌入浏览器等软件产品在赢得Amp, RSS阅读器,或电子邮件客户端。代码本身通常是用HTML / JavaScript编写的,但也可能扩展到VBScript, ActiveX, Java,闪光灯,或任何其他browser-supported技术。 |
| 跨站点脚本用户可能他/她的帐户被劫持(cookie盗窃),浏览器重定向到另一个位置,或者显示欺诈内容交付的网站访问。跨站点脚本编制的攻击基本上妥协一个用户与网站之间的信任关系。应用程序利用浏览器对象实例从文件系统加载内容可能在本地机器上执行代码区允许系统的妥协。 |
| Sql注入 |
| SQL注入攻击,恶意代码插入到字符串后传递到SQL Server的一个实例的解析和执行。任何程序构造SQL语句应该检查注入漏洞,因为SQL Server将执行其所接收到的所有语法有效查询。即使参数化可以由技术熟练的操纵数据和攻击者决定。SQL注入的主要形式包括直接代码插入用户输入变量,用SQL命令并执行连接。不直接攻击注入恶意代码的字符串是注定要存储在表或元数据。当随后存储字符串连接到一个动态SQL命令,执行恶意代码。注射工艺通过过早终止一个文本字符串,并添加一个新的命令。由于插入的命令可能执行额外的字符串附加到它之前,这个坏人终止字符串与评论马克”——“注入。随后的文本在执行时被忽略。 |
| 使用SQL注入攻击者可以:将新数据添加到数据库可以被尴尬的发现自己卖政治上不正确的物品在一个电子商务网站。在注入SQL执行插入,修改当前数据库中的数据。的震动可能会成本非常高昂,贵的东西突然被深深地“打折”。在注入SQL执行更新。通常可以获得其他用户的系统功能,获取他们的密码。 |
 |
| SQL注入 |
三世。文献调查 |
| 一个。Makridakis和E。Athanasopoulos“理解恶意应用程序的行为在社交网络” |
| 万维网已经从一个静态HTML页面集合各式各样的Web 2.0应用程序。在线社交网络是越来越受欢迎,自1997年建立SixDegrees的那一天。数以百万计的人使用社交网站每日,如Facebook,空间,Orkut, LinkedIn。这种增长的副作用是可能的利用可以把OSNs变成平台恶意和非法活动,如DDoS攻击,侵犯隐私,磁盘妥协,和恶意软件传播。这篇文章表明,社交网络网站成为理想的属性攻击平台。他们引入了一个新的术语,指反社会网络分布式系统可以利用基于社交网站进行网络攻击。敌人可以通过远程控制访问者的会话操纵他们的浏览器通过合法的网络控制功能,如载入图像的HTML标记,JavaScript指令,和Java applet。本文表明,社交网站成为理想的属性攻击平台。他们引入了新学期;反社会网络,是指基于分布式系统的社交网站可以利用进行网络攻击。 This paper is study about many attack vectors but this paper doesn’t deal about detection/prevention mechanism. This paper studies about the behaviour of malicious applications that causes the remote user to hack legitimate users data. |
| 格雷戈里·布兰科,Ruo安藤和Youki Kadobayashi”项重写Deobfuscation静态客户机端脚本恶意软件检测” |
| 确保用户提供一个安全的网络体验已成为一个关键问题在欺诈和隐私侵犯互联网正在成为当前。Web-scripting-based恶意软件也集中用来进行长期开发如XSS蠕虫或僵尸网络,和服务器端对策往往无效的反对这样的威胁而很少的客户端处理模糊的问题。为了提供更加完整的分析,提出了一种进行deobfuscation web-scripting-language-based恶意软件。本文研究的可能性自动化deobfuscation过程使用项重写系统基于自动扣除。这样的静态方法打算逃避anti-analysis技术和未知的模糊处理方案。一些初步的实验在JavaScript中,本文表明这是可能的,突出了一些挑战需要解决为了实现一种有效的基于脚本的恶意软件deobfuscator。这种方法可以推广到web脚本语言JavaScript如动作脚本或VBScript。应用程序包含基于脚本的恶意软件静态分析或恶意软件分销网站爬行。本文包含在一个更广泛的项目,旨在提供一种基于客户机的Web 2.0防御恶意软件。项重写系统来自用户的输入是首先检查水槽是否存在下沉然后下沉数据重写。 For example is changed to < script > alert(“hacked”); < script >. Two standard Tools are used, Encryption Technique is a Symmetric Encryption standard which convert every plaintext message into ciper text message using mono alphabetic cipher Term Rewriting System takes huge amount of time to rewrite the sinks (malicious data).Mono alphabetic cipher uses fixed substitution over the entire message .To prevent the vulnerability in the network a new tool called Automaton can be used to parse the Malicious sinks, Which is more efficient compared to the above Techniques. |
Automata-based字符串分析 |
| 我们使用automata-based字符串分析技术,我们上面提到的脆弱性分析和脆弱性签名的一代。我们的分析需要攻击模式指定为一个正则表达式和一个JSP程序作为输入,1)标识如果有任何漏洞基于给定的攻击模式,2)生成一个DFA描述所有用户输入的集合可能利用这个安全漏洞。正如我们前面所述,我们的字符串分析框架使用一个字符串表达式可以采取的DFA代表值。在每个程序点,每个字符串变量与DFA相关联。确定一个程序有漏洞,我们使用一个达到能力分析计算一个overapproximation字符串变量的所有可能的值可以在每个程序。交叉前进的结果分析与攻击模式给了我们潜在的攻击字符串如果程序是脆弱的。逆向分析计算的over-approximation所有可能的输入字符串可以生成这些攻击。结果是一个DFA为每个用户输入对应脆弱性签名。我们将讨论如何使用漏洞签名生成下一节有效的卫生处理例程。在这里,我们专注于如何进行向前和向后象征性达到能力分析与总结技巧。 |
提出分析-检测漏洞 |
| 是在使用依赖图进行脆弱性分析。确定每个节点的可能值的方法。依赖图中的每个节点与DFA相关联。DFA接受一个over-approximation字符串值的字符串表达式表示为节点可以在运行时。相交的DFA水槽节点与DFA识别漏洞的攻击模式。 |
四。结论 |
| 大量的网站容易受到XSS攻击。建议的解决方案是由实验结果发现是非常有效的。解决方案是平台独立的,在一个平台上实现独立的浏览器,因此它可以用于其他操作系统有一些变化。跨站脚本漏洞存在在所有的平台上,这是一个很大的优势在其他解决方案。我们使用基于自动机的字符串分析技术(XHunter),我们上面提到的脆弱性分析和脆弱性签名的一代。我们的分析需要攻击模式指定为一个正则表达式和一个JSP程序作为输入,1)标识如果有任何漏洞基于给定的攻击模式,2)生成一个DFA描述所有用户输入的集合可能利用这个安全漏洞。解决方案可以进一步扩展到覆盖其它有害的漏洞和攻击。它可以实现为一个共同的解决方案中使用的所有web浏览器。 |
| 许多的技术问题处理攻击,利用编码糟糕的存储过程和使用替代编码不能处理攻击,伪装自己。提出了一种新的工具,称为XHunter可以用来检查字符串操作操作在web应用程序的正确性XHunter实现基于自动机的方法进行自动验证基于符号字符串的字符串操作程序分析。本研究可以扩展将XHunter Midware,在客户机和服务器之间。 |
引用 |
- D。Arulsuju和R。公司“狩猎在社交网络恶意攻击”Purushothaman IEEE-ICoAC 2011 ISBN编号978-1-4673-0671 - 3/11 /©2011年IEEE 26.00美元。
- S.Christey。在CVE漏洞类型分布,2006年10月。http: / /cwe.mitre.org/documents/vuln-trends.html。
- r . Cytron j ., b . k . Rosen m . n . wegmans和f . k . Zadeck。有效地计算静态单一作业形式和controldependence图。交易在编程语言和系统中,13(4):451 - 490年,1991年10月。
- j·福斯特,m . Fahndrich和艾肯。类型限定符的理论。在ACM SIGPLAN会议程序编程语言设计和实现(PLDI),页192 - 203,亚特兰大,乔治亚州,1999年5月1 - 4日。
- j·s·福斯特,t . Terauchi和艾肯。Flow-sensitive类型限定符。在PLDI 02: ACM SIGPLAN学报2002会议上编程语言设计和实现,页1 - 12,2002。ACM出版社。
- c·古尔德、苏z和p . Devanbu。静态检查动态生成查询的数据库应用程序。在美国25 thinternational软件工程会议(ICSE), 2004年5月,页645 - 654。
- o . Hallaraker和g .豇豆属。在Mozilla检测恶意JavaScript代码。ICECCS的05:第十届IEEE InternationalConference学报》在工程复杂的计算机系统中,85 - 94页,2005年。
- k·j·希金斯。跨站点脚本:攻击者的新favoriteflaw, 2006年9月。http://www.darkreading.com/document.asp?doc_id=103774&WT.svl=news1_1。
- r . j . e . Hopcroft Motwani和j·d·厄尔曼。介绍自动机理论,语言和可计算性。addison - wesley, 2000年波士顿,MA。
- h .公元前Hosoya和皮尔斯。Xduce:类型的xml处理语言(初步报告)。在选定论文从第三国际研讨会WebDB 2000 World Wide Web和数据库,页226 - 244,伦敦,英国,2001年。斯普林格出版社。
- Y.-W。黄,f . Yu, c .挂学术界。蔡,D.-T。李,S.-Y。郭。确保web应用程序代码的静态分析和运行时的保护。WWW的04:学报》第13届国际会议在万维网上,页40-52,纽约,纽约,美国,2004年。ACM出版社。
- t·吉姆:哲人,m·希克斯。击败与browser-enforced嵌入式脚本攻击策略。WWW的07:学报》第16届国际会议在万维网上,601 - 610页,2007年。ACM。
- n约万诺维奇,c .克鲁格尔和大肠Kirda。小鬼:静态分析工具检测web应用程序漏洞(小论文)。2006年IEEE研讨会上的安全与隐私,奥克兰,CA, 2006年5月。
- n约万诺维奇,c .克鲁格尔和大肠Kirda。精确的别名分析语法检测web应用程序漏洞。在ACM SIGPLAN车间编程语言和分析安全,渥太华,加拿大,2006年6月。
- e . Kirda c克鲁格尔、g .豇豆属和n约万诺维奇。氮氧化物:一个客户端解决方案减轻跨站脚本攻击。囊的06:学报2006 ACM研讨会上应用计算,330 - 337页,2006年。ACM
|
菜单
