闻观行
- 作品数:4 被引量:20H指数:2
- 供职机构:中国科学院大学国家计算机网络入侵防范中心更多>>
- 发文基金:国家自然科学基金北京市自然科学基金更多>>
- 相关领域:自动化与计算机技术更多>>
- 中国科学院教育信息化中的Web应用安全增强实践被引量:1
- 2011年
- 中国科学院教育信息化旨在为培育高层次科研人才提供信息化支撑,其中Web应用体系规模大、交互性强、耦合性高,面临着许多潜在的安全风险。本文结合该Web应用体系有针对性地设计了一种安全增强方法。方法的有效实施挖掘并修复128个Web安全漏洞,同时SQL注入与XSS两大主要漏洞数目总和在安全编码培训后也下降了55.10%,Web应用体系安全性得到了显著增强。
- 罗启汉陈深龙邢璐祎李宁张园超刘鹏王剑闻观行张玉清刘振清刘玉柱
- 关键词:教育信息化
- Flash跨站脚本漏洞挖掘技术研究被引量:9
- 2014年
- Flash引起的跨站脚本攻击能够导致用户隐私泄露,严重威胁Web安全.有必要对此类漏洞的挖掘技术进行深入研究,尽早发现并修复安全隐患.通过分析总结可以导致XSS(cross-site scripting)漏洞的不安全ActionScript函数,设计并实现了Flash跨站脚本漏洞挖掘工具(flash XSS detector,FXD).它将静态分析和动态测试技术相结合,能够自动地反编译Flash文件,分析ActionScript文件中包含的危险函数及对应参数,并通过动态测试方法加以验证.通过使用该工具对Alexa Top100站点中的Flash文件进行广泛的测试,发现18个站点的48个Flash应用可以导致XSS攻击.该测试结果表明了FXD的有效性和先进性.
- 刘奇旭温涛闻观行
- 关键词:ADOBEFLASHACTIONSCRIPT跨站脚本WEB安全
- 基于数据格式支持机制的自动化渗透测试框架被引量:2
- 2011年
- Backtrack4是功能最全面的一款测试平台,但由于数据交换处理机制的缺失使得它难以胜任高效的测试需求.设计了相应的数据格式支持机制,并依此开发了一个渗透测试框架(PTF).该框架会自动使用有关的渗透测试工具进行信息探测、漏洞评估、报告生成.真实网络环境中的实验验证了PTF能高效完成自动化渗透测试,进而大幅提升了使用Backtrack4进行渗透测试的有效性.
- 闻观行张园超张玉清
- 关键词:自动化
- 基于群体特征的社交僵尸网络检测方法被引量:8
- 2014年
- 攻击者通过在社交网络中部署由大量社交僵尸账号组成的社交僵尸网络,对社交网络进行渗透,严重危害了社交网络和用户的信息安全.我们首次提出一种基于群体特征的社交僵尸网络检测方法.提取社交僵尸网络中账号注册时间集中、昵称相似和活跃时间一致3个群体特征,结合数据挖掘算法,设计一种社交僵尸网络的检测方法.在对新浪微博中48万个账号的检测实验中,检测出多个社交僵尸网络,共包含6 899个社交僵尸账号.较低的漏报率和误报率表明该方法对于社交僵尸网络和僵尸账号的检测是可行和有效的.
- 倪平张玉清闻观行刘奇旭范丹
- 关键词:社交网络数据挖掘
