排序方式: 共有14条查询结果,搜索用时 15 毫秒
1.
全面分析现有基于HTML5的跨文档消息机制的安全性,指出其中存在的安全风险,并在此基础上设计和实现了跨文档消息传递方案SafePM.SafePM引入消息安全规则白名单,通过双向检测机制实现对消息收发的完全控制,通过消息内容安全控制机制消除内容中的安全隐患.同时加入自动安全检测以及安全规则隐藏等机制,从而防止消息泄露和篡改,减少跨站脚本执行的风险,实现安全的跨文档消息传递. 相似文献
2.
针对网络通讯软件的Fuzzing技术受限于协议格式,尤其是未知协议难以保证测试效果,提出了基于符号表达式的协议分析方法.将数据包关键处理代码翻译为符号表达式,利用符号表达式的丰富含义加快未知协议格式分析,并依此开发了协议格式分析及漏洞挖掘框架PAVD.通过对亿邮客户端的漏洞测试,验证了PAVD能有效提升协议分析效率,为网络通讯软件Fuzzing测试提供良好的支持. 相似文献
3.
攻击者通过在社交网络中部署由大量社交僵尸账号组成的社交僵尸网络,对社交网络进行渗透,严重危害了社交网络和用户的信息安全.我们首次提出一种基于群体特征的社交僵尸网络检测方法.提取社交僵尸网络中账号注册时间集中、昵称相似和活跃时间一致3个群体特征,结合数据挖掘算法,设计一种社交僵尸网络的检测方法.在对新浪微博中48万个账号的检测实验中,检测出多个社交僵尸网络,共包含6 899个社交僵尸账号.较低的漏报率和误报率表明该方法对于社交僵尸网络和僵尸账号的检测是可行和有效的. 相似文献
4.
Android平台的功能泄露漏洞会导致权限提升和隐私泄露等严重危害,常被恶意软件用于绕过安全机制.针对这一问题,提出一个基于静态分析的功能泄露漏洞挖掘工具CLDroid.CLDroid使用逆向控制流的程序切片算法从源代码中提取程序逻辑,并利用可定制的安全规则库来检测违规行为.实验结果表明,CLDroid能有效挖掘Android源代码中的功能泄露漏洞,且具有较好的可扩展性. 相似文献
5.
针对Linux下的内核级提权漏洞,基于模拟攻击的漏洞检测思想,设计并开发漏洞自动利用系统KernelPET,揭示典型提权漏洞的利用过程,从而为漏洞防御提供支持.KernelPET系统与主流漏洞库exploit-db、securityfocus等衔接,模拟攻击测试近百个提权漏洞,挑选30个经典的Linux内核提权漏洞载入KernelPET漏洞代码库,并基于不同内核、不同发行版的Linux平台测试.实验结果表明,KernelPET在多类发行版Linux系统下具有较好的效果. 相似文献
6.
针对危害性最为严重的存储型XSS漏洞的特点及其触发方式,设计并实现了一款自动生成存储型XSS攻击向量的工具.使用该工具对中国2个大型视频分享网站的日志发布系统进行测试,发现6类导致存储型XSS漏洞的攻击向量.实验结果验证了该方法及测试工具的有效性,并说明中国视频网站仍存在着较大安全隐患. 相似文献
7.
在通信过程中,如果Android应用对其私有组件保护不充分,会导致组件暴露漏洞的存在.以往针对Android应用通信过程的漏洞挖掘方法不能准确发现这种安全威胁.为解决上述问题,提出一种结合Fuzzing技术和逆向分析的漏洞挖掘方法,设计并实现了漏洞挖掘工具KMDroid.实验结果表明,KMDroid可以有效挖掘应用通信过程中存在的安全漏洞. 相似文献
8.
Android平台的功能泄露漏洞会导致权限提升和隐私泄露等严重危害,常被恶意软件用于绕过安全机制.针对这一问题,提出一个基于静态分析的功能泄露漏洞挖掘工具CLDroid.CLDroid使用逆向控制流的程序切片算法从源代码中提取程序逻辑,并利用可定制的安全规则库来检测违规行为.实验结果表明,CLDroid能有效挖掘Android源代码中的功能泄露漏洞,且具有较好的可扩展性. 相似文献
9.
RESTful API作为当前主流Web API,其传参与调用方式具有新特性,传统的Web漏洞检测工具均无法有效对其检测. 本文设计并实现了首款针对RESTful API的SQL注入漏洞检测工具:RASIVD. 实验结果表明,与传统检测工具相比,RASIVD能够检测出更多API SQL注入漏洞,且误报率为零,说明了RASIVD的有效性. 相似文献
10.
针对网络通讯软件的Fuzzing技术受限于协议格式,尤其是未知协议难以保证测试效果,提出了基于符号表达式的协议分析方法.将数据包关键处理代码翻译为符号表达式,利用符号表达式的丰富含义加快未知协议格式分析,并依此开发了协议格式分析及漏洞挖掘框架PAVD.通过对亿邮客户端的漏洞测试,验证了PAVD能有效提升协议分析效率,为网络通讯软件Fuzzing测试提供良好的支持. 相似文献