bong da tin nhanh

  • Sự đóng góp
  • Thời gian cập nhật 24/10/2021
  • 3 readings
  • Rating 0
  • great
  • Step on

Giới thiệu về bong da tin nhanh

keo bong da net

Công cụ phát hiện tập lệnh trang web chéo trực tuyến dựa trên PHP

  • Sự đóng gópHiểu không
  • Cập nhật thời gian2015-10-19
  • Đọc khối lượng528 lần
  • ghi bàn4
  • tuyệt vời30
  • Bước lên0

Wang Pei, Niu Chen, Ding Litong

(Đại học Bưu chính Viễn thông Tây An, Tây An, Thiểm Tây 710121)

Tóm tắt: Cross-site scripting là một kiểu tấn công lỗ hổng bảo mật dựa trên các ứng dụng trang web, nó sẽ nghiên cứu và giải quyết việc phát hiện tự động nhanh chóng. Để ngăn chặn hiệu quả việc lạm dụng kịch bản chéo trang, người ta đã quyết định tạo ra một phương pháp phát hiện tập lệnh chéo trang dựa trên Web để phát hiện ra các nguy cơ tiềm ẩn của tập lệnh chéo trang trong các trang Web. Hoàn thành sáu mô-đun chính: mô-đun đăng nhập, mô-đun phát hiện, mô-đun quét, mô-đun đầu ra, mô-đun báo cáo, mô-đun nhật ký. Mô-đun mã lõi là phần phát hiện và quét, chúng hợp tác với nhau để xây dựng các tham số xuyên trang và nắm bắt thông tin phản hồi. Các mô-đun khác hợp tác với mã lõi để đóng vai trò phụ trợ. Lựa chọn PHP để xây dựng là một điểm nổi bật. PHP là một ngôn ngữ lập trình web có thể phân tích cú pháp nhanh chóng nội dung của front-end DOM và chỉ đứng sau Python về tốc độ trong các ngôn ngữ kịch bản. Sẽ nhanh hơn và hiệu quả hơn khi xây dựng và phát hiện kịch bản chéo trang, vốn đã là một cuộc tấn công Web, bằng cách sử dụng phương pháp Web.

Mạng Tạp chí Giáo dục http://www.jyqkw.com
Từ khóa: tập lệnh trên nhiều trang web; Web; PHP; phát hiện bảo mật; quét

Thư viện Trung Quốc Số phân loại: TP911? 34 Mã nhận dạng tài liệu: A Số bài viết: 1004? 373X (2015) 20? 0041? 03

Công cụ kiểm tra XSS trực tuyến dựa trên PHPWANG Pei, NIU Chen, DING Litong

(Đại học Bưu chính Viễn thông Tây An, Tây An 710121, Trung Quốc)

Tóm tắt: XSS (cross site scripting) là một loại tấn công chống lại lỗ hổng bảo mật dựa trên ứng dụng mạng pro? Gram. Kiểm tra tự động nhanh của nó được nghiên cứu trong bài báo này. Để ngăn chặn việc lạm dụng XSS một cách hiệu quả, một Web? dựa trên phương pháp kiểm tra XSS được thiết kế để phát hiện rủi ro chéo trang tiềm ẩn trong các trang Web. Sáu mô-đun chính (mô-đun đăng nhập, mô-đun phát hiện, mô-đun quét, mô-đun đầu ra, mô-đun báo cáo và mô-đun nhật ký) đã được đáp ứng, trong đó các mô-đun mã nhân phát nổ và quét những cái, chúng hợp tác với nhau để xây dựng các tham số trang web chéo và lấy dữ liệu phản hồi. PHP là ngôn ngữ chuyên nghiệp Web, có thể giải quyết nội dung DOM front? end một cách nhanh chóng và tỷ lệ của nó chỉ đứng sau Python về kịch bản lan? guage. Sử dụng phương pháp Web để cấu trúc và phát hiện XSS thuộc về cuộc tấn công Web được thuận tiện và hiệu quả hơn.

Từ khóa: kịch bản trang chéo; Web; PHP; phát hiện bảo mật; quét

Ngày nay, khi kịch bản xuyên trang ngày càng được che giấu, việc đối phó với mối đe dọa từ lỗ hổng này đã trở thành một nhiệm vụ khó khăn.[1?3].Nghiên cứu ban đầu về kịch bản trên nhiều trang web chỉ dừng lại ở các cuộc tấn công bạo lực đơn giản[4], Và thiếu hiểu biết về các phương pháp tấn công mới nổi như bỏ qua.Tuy nhiên, trong những năm gần đây, nghiên cứu của nước ngoài về kịch bản xuyên trang ngày càng đi vào chiều sâu, với những cơ sở nghiên cứu này, bảo mật Web đã được cải thiện rất nhiều.[5].Tình trạng nghiên cứu trong nước hiện tại về cơ bản đã liên quan đến tất cả các cấp độ của kịch bản xuyên trang, nhưng có ít công cụ phát hiện tự động hơn, ngay cả khi có, chúng chủ yếu nhắm vào các lỗ hổng như SQL injection.[6?8]. Không tập trung vào và phát hiện tập lệnh chéo trang web một cách rập khuôn, bài viết này sẽ bổ sung những thiếu sót đó. Dựa trên các tập lệnh Javascript cơ bản và các phương pháp xây dựng giữa các trang web, có thể xây dựng nhiều câu lệnh trên nhiều trang khác nhau. Các câu lệnh như vậy được gọi là Tải trọng. Thông qua yêu cầu HTTP, Tải trọng liên tục được phát hiện và gửi đến Máy chủ Web, sau đó trang web có thể được phát hiện xem có tập lệnh giữa các trang web để đạt được mục đích phát hiện hay không.

1 Các cuộc tấn công theo kịch bản trên nhiều trang web và các phương pháp ngăn chặn

1.1 Các cuộc tấn công kịch bản trên nhiều trang web

Phương thức tấn công của các lỗ hổng cross-site scripting chủ yếu xuất phát từ quá trình chạy trang web, kẻ tấn công gửi mã script độc hại lên máy chủ web và cùng thực thi mã độc khi trình duyệt tải.Trong những ngày đầu của sự phổ biến rộng rãi của Internet, một số lượng lớn các trang web đã bị tấn công bởi các lỗ hổng tập lệnh giữa các trang web[9]. Từ quan điểm của nguyên tắc thực hành, bài viết này đã mô tả rất chi tiết về cách khám phá và sử dụng nghiên cứu, và cách phòng ngừa nó. Bài viết này sẽ trình bày phân tích từng quy trình phân tích của hệ thống, quy trình xây dựng, quy trình vận hành và quy trình phân tích kết quả.

1.2 Tấn công xây dựng và Bỏ qua

Có nhiều cách để khai thác các lỗ hổng cross-site scripting và cũng có một số cách đặc biệt để khai thác chúng, hiện tại, tất cả các phương pháp vượt qua chủ yếu được thực hiện thủ công. Mặc dù việc tìm kiếm lỗ hổng thủ công là rất tỉ mỉ, nhưng nó không hiệu quả và phụ thuộc vào trình độ lập trình của chính kẻ tấn công. Bằng cách này, các công cụ tiêm đã trở nên phổ biến và việc phát hiện tập lệnh xuyên trang thông qua các chương trình không thể đạt được khả năng phát hiện kịp thời và xây dựng linh hoạt. Nếu cần độ chính xác, nhưng không phải thời gian, nó có thể được tiêm thủ công. Nếu tính hiệu quả được yêu cầu và độ chính xác bị bỏ qua, có thể sử dụng thử nghiệm tự động. Bài viết này là một loạt các đánh giá sử dụng các phương pháp phát hiện tự động. Thời gian thực hiện ngắn, khối lượng quét lớn nhưng phương pháp thi công thiếu tính linh hoạt so với phun thủ công.

1.3 Các phương pháp ngăn chặn các cuộc tấn công kịch bản xuyên trang

1.3.1 Lọc nhạy cảm

Cách cơ bản nhất để xử lý tập lệnh trên nhiều trang là lọc tất cả những nơi mà người dùng tương tác. Hầu hết tất cả các ngôn ngữ back-end của web đều bao gồm chức năng lọc thẻ front-end.

1.3.2 Loại được chỉ định của tiêu đề HTTP

Thông báo được yêu cầu phải bao gồm bốn phần: dòng yêu cầu, tiêu đề yêu cầu, dòng trống và nội dung yêu cầu. Tiêu đề của yêu cầu chứa một tổ hợp các cặp tên / giá trị, mỗi cặp bao gồm tên và giá trị, sau đó được phân tách bằng dấu hai chấm tiếng Anh.Trong giao thức HTTP, bạn có thể sử dụng tiêu đề của thư để chỉ định loại nội dung, do đó, nội dung đầu ra được ngăn không cho phân tích cú pháp dưới dạng HTML[10].

2 Kiến trúc hệ thống

2.1 Kiến trúc lôgic

Hệ thống quét lỗ hổng bảo mật khi quét web là một công cụ quét dựa trên XSSer làm công cụ quét. Kết hợp với Think? PHP, khung phát triển PHP trưởng thành nhất ở Trung Quốc[11], Thu thập thông tin trang Web đã quét, tìm từ khóa theo các tham số, tạo lại các tham số POST và GET và gửi chúng đến công cụ XSSer để quét. Sau khi hoàn thành, kết quả được xuất ra tệp và quầy lễ tân đọc tệp và tóm tắt thông tin. Sơ đồ danh mục hệ thống được hiển thị như trong Hình 1.

2.2 Kiến trúc vật lý

Cấu trúc vật lý của Hình 2 mô tả cấu trúc vật lý của một hệ thống Quét Web tiêu chuẩn trong quá trình quét Tất cả các thành phần trong hình là thiết bị vật lý, bao gồm hai máy chủ Web, bộ định tuyến, máy khách và máy chủ. Cấu trúc triển khai máy quét.

2.3 Môi trường vận hành hệ thống

(1) Môi trường nền tảng: Môi trường dự án được phát triển bởi Ubuntu, tương thích với nhiều bản phân phối Linux khác nhau.

(2) Môi trường ngôn ngữ: Python, PHP, Javascript.

(3) Môi trường công cụ: XSSer là một công cụ để kiểm tra thâm nhập các lỗ hổng trên nhiều trang web được phát triển bằng Python, công cụ này chỉ phát hiện các tập lệnh giữa các trang web.

(4) Môi trường máy chủ: XAMPP (MySQL + Apache + PHP + PERL).

3 Công cụ phát hiện tập lệnh trên nhiều trang trực tuyến

(1) Đăng nhập mô-đun. Mô-đun đăng nhập này dựa trên ThinKPHP, kiến ​​trúc back-end và kiến ​​trúc front-end của sức hút và thông tin người dùng được lưu trữ trong cơ sở dữ liệu MySQL. Quản trị viên mặc định hệ thống: admin Mật khẩu hệ thống: admin.

(2) Mô-đun phát hiện. Mô-đun phát hiện của hệ thống giới thiệu 2 tệp lớp PHP simple_ht? Ml_dom.php và http.php 2 để giúp phân tích cấu trúc của trang và số lượng kết nối. Cây DOM[12?13]Cấu trúc được thể hiện trong Hình 4.

(3) Mô-đun quét. Kết quả quét sẽ được xuất ra một tệp TXT cụ thể, kết quả đầu ra có từ khóa "Kết quả cuối cùng" để chặn phần đó, phần bị chặn là kết quả cuối cùng của quá trình quét, mức độ rủi ro của kết quả được đọc và chuyển cho Kết quả đầu ra PHP, Vẽ bản đồ mức độ rủi ro. Quá trình quét nền được thể hiện trong Hình 5.

(4) Mô-đun đầu ra. Quá trình đầu ra chủ yếu dựa trên kết luận của kết quả quét XSSer và đầu ra theo tiêu chuẩn phân loại mức độ rủi ro hệ thống Web. Dòng sản lượng chính là:

Bước 1: Lấy các tham số liên quan của rủi ro Reasult trong tệp kết quả TXT;

Bước 2: Gửi nội dung ở Bước 1 vào phân hệ lập bản đồ rủi ro;

Bước 3: Gửi nội dung ở Bước 2 đến mô-đun đầu ra của trang web;

Bước 4: Thực hiện các mô-đun trên theo thứ tự, hoạt động hoàn thành và mô-đun kết thúc.

(5) Mô-đun báo cáo. Trong quá trình nhập TCPDF, hãy tải xuống TCPDF, sau đó tham khảo nội dung trong mô tả tệp để triển khai, cài đặt và di chuyển từng bước.

(6) Mô-đun nhật ký. Hệ thống Quét Web chọn WordPress, thành phần xuất báo cáo của PHP. Chèn nội dung nhật ký có liên quan vào tệp log.txt được tạo trong thư mục gốc của dự án.

4 An toàn của chính hệ thống

Web Scan là một phần mềm giám sát và đưa vào lỗ hổng bảo mật. Bảo mật của riêng bạn là rất quan trọng. Để ngăn hệ thống bị tấn công, một số quy tắc lọc bảo mật được tích hợp sẵn. Tải tệp cấu hình bảo mật mới vào cấu hình ThinkPHP và quy tắc sẽ được ghi vào tệp runtime.php khi chạy.

5. Kết luận

Hiện nay, ngày càng có nhiều trang web chú ý đến và sửa chữa các lỗ hổng trên nhiều trang web. Tuy nhiên, vẫn còn một số lượng lớn các trang web quy mô vừa và nhỏ gặp vấn đề bảo mật như vậy, và công việc nghiên cứu về lỗ hổng này vẫn sẽ tiếp tục. Tình trạng nghiên cứu trong nước hiện tại về cơ bản đã liên quan đến tất cả các cấp độ của kịch bản xuyên trang, nhưng có ít công cụ phát hiện tự động hơn. Ngay cả khi có, nó chủ yếu nhắm mục tiêu SQL injection và các lỗ hổng khác, và không tập trung vào việc phát hiện tập lệnh chéo trang web theo khuôn mẫu. Bài viết này bổ sung những thiếu sót như vậy. Bài viết này hoàn thành sáu mô-đun chính: mô-đun đăng nhập, mô-đun phát hiện, mô-đun quét, mô-đun đầu ra, mô-đun báo cáo, mô-đun nhật ký. Mô-đun mã lõi là phần phát hiện và quét, chúng hợp tác với nhau để xây dựng các tham số xuyên trang và nắm bắt thông tin phản hồi. Các mô-đun khác hợp tác với mã lõi để đóng vai trò phụ trợ.

Mạng Tạp chí Giáo dục http://www.jyqkw.com
người giới thiệu

[1] Liao Danzi "Đa dạng" Đe dọa an ninh phi truyền thống: Thách thức an ninh mạng và quản trị[J]Nghiên cứu An ninh Quốc tế, 2014 (3): 25-39.

[2] Deng Yuan, He Guohui, Wu Qing. Nghiên cứu công nghệ phòng chống và tấn công theo kịch bản xuyên trang[J]Kiến thức và Công nghệ Máy tính, 2012 (6): 1234-1236.

[3] Wu Di, Lian Yifeng, Chen Kai, và các cộng sự. Một phương pháp phân tích và xác định mối đe dọa an ninh dựa trên đồ thị tấn công[J]. Tin tức, 2012 (9): 1938-1950.

[4] Li Zhao, Peng Yong, Xie Feng, v.v. Các mối đe dọa và biện pháp bảo mật hệ thống vật lý mạng[J].Journal of Tsinghua University: Natural Science Edition, 2012 (10): 1482-1487.

[5] Chen Jianqing, Zhang Yuqing. Thiết kế và triển khai công cụ phát hiện lỗ hổng tạo kịch bản trên trang web[J]Kỹ thuật máy tính, 2010 (6): 152-154.

[6] Wang Yun, Guo Waiping, Chen Chenghuan. Nghiên cứu và các phương pháp phòng ngừa sự cố chèn SQL trong các dự án Web[J]Kỹ thuật và Thiết kế Máy tính, 2010 (5): 976-978.

[7] Lian Kunmei, Xu Jing, Tian Wei, và các cộng sự. Nghiên cứu về các phương pháp phát hiện đa cấp cho các lỗ hổng SQL injection[J]Khoa học và Khám phá Máy tính, 2011 (5): 474? 480.

[8] Ma Kai, Cai Wandong, Yao Ye. Phương pháp trích xuất điểm chèn cho lỗ hổng SQL injection trong môi trường Web 2.0[J]Phát triển Công nghệ Máy tính, 2013 (3): 121? 124.

[9] Qiu Yonghua. Phân tích và phòng thủ theo kịch bản chéo trang web XSS[M]Bắc Kinh: Báo chí Bưu chính Viễn thông Nhân dân, 2013.

[10] Wu Hanqing. Mũ trắng nói về bảo mật web[M]Bắc Kinh: Nhà xuất bản Công nghiệp Điện tử, 2012.[11] Xu Hongyun, Li Yu. Thiết kế và triển khai mô-đun kiểm soát quyền dựa trên ThinkPHP[J]Thông tin máy tính vi mô, 2012 (9): 234-235.

[12] Guo Jianbing, Cui Zhiming, Chen Ming, v.v. Phương pháp trích xuất web dựa trên bản thể học miền và cây DOM[J]Kỹ thuật máy tính, 2012 (5): 56-58.

[13] Luo Mingyu, Ling Jie. Phát hiện lỗ hổng SQL injection dựa trên so sánh giá trị chuỗi cây DOM[J]Kỹ thuật và Thiết kế Máy tính, 2015 (2): 350? 354.

Trước: Hệ thống quản lý đa nguồn dựa trên giao tiếp Socket
Kế tiếp: Nghiên cứu và ứng dụng phương pháp xây dựng đường dây truyền tải ba chiều

Chúc các bạn đọc tin bong da tin nhanh vui vẻ!