XSS

摘要： The rapid growth and uptake of network-based communication technologies have made cybersecurity a significant challenge as the number of cyber-attacks is also increasing.A number of detection systems are used in an attempt to detect known attacks using signatures in network traffic.In recent years,researchers have used different machine learning methods to detect network attacks without relying on those signatures.The methods generally have a high false-positive rate which is not adequate for an industry-ready intrusion detection product.In this study,we propose and implement a new method that relies on a modular deep neural network for reducing the false positive rate in the XSS attack detection system.Experiments were performed using a dataset consists of 1000 malicious and 10000 benign sample.The model uses 50 features selected by using Pearson correlation method and will be used in the detection and preventions of XSS attacks.The results obtained from the experiments depict improvement in the detection accuracy as high as 99.96%compared to other approaches.

摘要： 在基于深度学习XSS检测的研究中,双向长短期记忆网络(BiLSTM)和CNN模型均无法区分输入特征信息中关键特征和噪音特征对模型效果的影响。针对这一问题,引入注意力机制,提出一种将BiLSTM和CNN相结合的XSS检测模型。首先利用BiLSTM提取XSS攻击载荷双向序列信息特征,然后引入注意力机制计算不同特征在XSS检测中的权重,最后将加权后的特征向量输入CNN提取局部特征。实验表明BiLSTM-Attention-CNN相比SVM、ADTree、AdaBoost机器学习算法分别提高了9.45%、7.9%和5.5%的准确率,相比单一的CNN、GRU、BiLSTM提高了检测精度,相比BiLSTM-CNN在保持检测精度的同时减短了5.1%收敛时间。

摘要： 我入手次时代主机PS5和XSX也有一段时间了,两家都非常喜欢,深入体验之后,想要给还没有入手的朋友们一点小参考和建议,同时也对两者的异同做一些对比。关于两个主机单独的详细评测可参见前几期在电竞影音栏目的文章。至于到底选择哪台,有朋友玩一样的尽量选和朋友一样的,如果没有,那请往下看。

摘要： 现今,web应用程序已然是互联网最主要的信息传播媒介之一,因此,信息的安全问题越来越受到广泛的关注,本文从web应用最主要的三种攻击方式(XSS,CSRF,ClickJacking)入手,进行了深入的研究与分析,并提供了有效的防御手段.

摘要： 通过语义情景分析及向量化对访问流量语料库大数据进行词向量化处理,实现了面向大数据XSS入侵智能检测研究.利用自然语言处理方法进行数据获取,数据清洗,数据抽样,特征提取等数据预处理;设计了基于神经网络的词向量化算法,实现了词向量化得到词向量大数据;通过理论分析和推导,实现了不同深度的深层神经网络智能检测算法;设计不同的超参数并进行反复的实验,分别得到最大识别率、最低识别率、识别率均值、方差、标准差、损失误差变化过程曲线图和词向量样本余弦距离变化曲线图等结果,证明了研究的语义情景分析及向量化面向大数据XSS入侵智能检测系统具有识别率高,稳定性好,总体性能优良等优点.

摘要： 目前,XSS是黑客最常用来攻击互联网的技术之一,其对互联网安全的危害性在国际排名第二,它是利用Web站点,把病毒混入文本,意图蒙蔽计算机中信息安全系统的"眼睛",对原网站代码进行攻击,盗取人们的信息.本文主要对XSS网络渗透攻击与防范策略进行探讨.

摘要： 随着计算机网络技术不断进步和发展,各类各式网站层出不穷,网站安全需求日益增加.在大旅游背景下,旅游类网站逐渐成为众多景区信息化的方式之一.XSS漏洞是目前Web 2.0时代最主要的计算机安全漏洞.本文将分析XSS漏洞的主要特点以及攻击方式,并与旅游类网站特性相结合,构建旅游类网站XSS漏洞防御策略.

摘要： 现今,web应用程序已然是互联网最主要的信息传播媒介之一,因此,信息的安全问题越来越受到广泛的关注,本文从w e b应用最主要的三种攻击方式(X S S,C S R F,ClickJacking)入手,进行了深入的研究与分析,并提供了有效的防御手段。

摘要： XSS是一种在Web应用中的计算机安全漏洞,它能让Haker将代码植入到其他用户使用的页面中.虽然XSS漏洞本身的机制比较简单,但由于当今B/S结构的高度发展,网站需要实现的需求越来越多样化,复杂的逻辑关系导致了XSS屡禁不止.文中从Haker和Web开发者的角度对XSS攻击进行分析,旨在为XSS的防治提供一个良好的解决方案.

摘要： 本发明公开了一种基于语法分析的反射型XSS检测方法及装置，该方法包括：判断当前网站是否存在触发点；在当前网站存在触发点的情况下，获取与当前网站的第一网页响应源码对应的第一抽象语法树；基于第一抽象语法树，确定当前网站中触发点的类型与攻击路径；基于类型和所述攻击路径，生成验证性Payload，基于验证性Payload对当前网站进行反射型XSS检测。上述方法中，首先对当前网站进行预检测，在存在触发点的情况下，基于触发点的类型和攻击路径确定验证性Payload，基于验证性Payload进行反射型XSS检测，在存在触发点的情况下有针对性的选取Payload，不再需要枚举Payload，提高了检测效率。

摘要： 本申请提供一种XSS攻击防御方法，应用于电子设备，所述方法包括：获取多个网站用于XSS攻击防御的端侧XSS安全策略；将获取的端侧XSS安全策略配置在电子设备中；向网页服务器发送网页的访问请求；接收网页服务器返回的网页数据；若请求的网页的URL在电子设备配置的端侧XSS安全策略中，根据请求的网页的URL对应的端侧XSS安全策略和网页数据对网页进行渲染。本申请可以提高XSS攻击防御的可靠性，避免用户受到XSS攻击。

摘要： 本申请涉及一种基于XSS攻击检测的数据处理系统、方法、装置、计算机设备、存储介质和计算机程序产品，系统包括：服务器层、浏览器层以及前端层；服务器层、浏览器层以及前端层之间通信连接；前端层，用于获取用户输入的数据；对数据进行验证，得到验证结果；若验证结果为正常，则将数据传输到浏览器层；浏览器层，用于对数据进行XSS审计处理，得到XSS审计结果；若XSS审计结果为正常，则将数据传输到服务器层；服务器层，用于对数据进行过滤；对过滤后的数据进行编码处理，得到编码后的数据；将编码后的数据与预设名单进行匹配，根据匹配结果确定出目标数据；本公开减少变电站服务器被XSS攻击的可能，保障电力系统网络环境安全。

摘要： 本发明提出基于时间卷积网络的XSS模糊测试用例生成方法。目前，大多是以关键载荷字典作为数据集，并通过搭建字符级别语言模型的方式进行用例的生成。然而，由于目前存在关键载荷字典中用例数量有限等问题，使得生成效率和质量受到影响。本发明以JS事件函数插入位置作为依据，对用例进行结构划分。在此基础上，参考XSS绕过方法，根据划分结果对用例各部分内容进行变异，以实现数据增强。其次，对用例中的单词与字符进行联合编码，保证在保留字符变异性的同时，不会破坏原有单词语义。最后，通过TCN搭建用例生成模型，通过学习用例特征，生成符合要求的XSS漏洞测试用例。本发明提高XSS漏洞模糊测试用例生成效率和质量。

摘要： 本申请涉及网络安全技术领域，尤其涉及一种防御方法、XSS漏洞的查寻方法、流量检测设备及存储介质；防御方法包括：获取网络流量；判断所述网络流量中是否携带有数据库中存储的XSS攻击代码，如果是，则对所述网络流量中携带的XSS攻击代码进行转义处理，得到转义处理后的XSS攻击代码；其中，所述转义处理后的XSS攻击代码为浏览器不能执行的数据；以及，将所述转义处理后的XSS攻击代码存储至数据库。对XSS攻击代码进行转义等防御操作，将XSS攻击代码转换为浏览器不能执行的数据，然后将转义防御后的XSS攻击代码存储至数据库内，有效减少流量检测设备web界面上的XSS漏洞，从而便于提高流量检测设备的安全性。

摘要： 本发明实施例提供一种XSS攻击检测方法及装置。其中，该方法包括：检测接收到的用户请求，判断是否为XSS攻击；若是XSS攻击，则从用户请求中提取XSS攻击向量；获取对应用户请求的应答报文，将应答报文放入JS沙箱中运行并执行监听事件，将监听到的对应应答报文的事件与XSS攻击向量对比，若对比结果一致，则XSS攻击成功。针对XSS攻击的的特点，提取XSS攻击向量和应答报文在JS沙箱中运行结果，将提取的攻击向量和JS沙箱运行结果进行比对，对攻击结果进行研判，减少了维护成本。

摘要： 本发明公开了一种web端防范XSS攻击的方法及系统。该方法包括：将React框架作为前端框架，确定DOMParser过滤原则，在HTML页面渲染时过滤XSS恶意攻击的代码；根据所述DOMParser的接口，将XML或HTML源代码从字符串解析为文档对象模型；将部分文档对象模型替换为从HTML构建的新DOM树，获取与新DOM树相应DOM子树的HTML片段；根据所述HTML片段，防范web端XSS攻击。从而，采用DOMParser过滤数据，可以自定义过滤的标签和属性，配置灵活，解析效率高，渲染速度快。利用React的特性，封装成即插即用的工具组件，方便程序内部的调用，在一处配置过滤规则可以在多处使用，在调用时只需导入该方法即可直接调用。DOMParser过滤的性能很高，使用DOMParser可以在一定程度上提升页面的加载速度，提高用户的上网体验。

摘要： 本发明公开了一种基于XSS与SQL注入的蜜罐攻击事件识别系统及方法，包括日志采集模块、数据存储模块和攻击识别模块，采用自动化思想完成采集到识别的全流程，部署蜜罐时候配置对应同网段的IP系统，可以将网页设置为后台系统样，如果访客出现XSS或者SQL注入的攻击行为则会留下攻击记录，并标注攻击类型，降低对网络管理员的专业能力要求；可捕捉攻击方式与攻击者信息，以供管理员采取措施；使用标记语言作为攻击特征载体，具有良好的可拓展性与可读性；采用消息队列系统作为存储中间件，降低系统负荷同时可提高运行效率。

摘要： 本发明公开了一种内网XSS平台攻击向量自动生成系统及方法，包括WEB服务器、交互式命令、攻击向量回调接口路由及XSS攻击向量库；所述WEB服务器用于启动后初始化XSS攻击向量库；所述交互命令行用于通过用户输入动态配置相关攻击向量接口路由，自动生成攻击向量；所述攻击向量回调接口路由用于接收攻击结果，存储并展示当前攻击结果。本发明实现了在内网环境中可跨平台快速部署XSS平台系统，通过交互式命令行，动态配置系统参数，自动生成攻击向量无需人工操作，速度快且有效性高。

摘要： 本发明公开了一种基于条件变分自编码器和SENet的XSS攻击检测方法，包括以下步骤：获取攻击样本数据并进行数据预处理，将预处理后的数据映射至设定的区域；构建条件变分自编码器CVAE模型，利用得到的数字数据训练条件变分自编码器CVAE模型，并将训练好的模型的编码器作为特征提取器；构建SENet模型，利用特征提取器对预处理后的数据进行采样得到特征，利用特征训练SENet模型，得到分类器；提取待检测攻击数据的特征，输入至分类器，输出分类结果，完成XSS攻击检测。本方法与传统的XSS攻击检测的方法相比，结合了条件变分自动编码器的特点和SENet的优点提升了学习数据的表征能力，提高了XSS攻击检测的准确率。