一种Web输入验证的鱼骨刺测试模型被引量：1

A fishbone test model for Web input validation

下载PDF

导出

摘要文章在分析Web缓冲区溢出、跨站点脚本编写(XSS)、SQL注入和规范化等4种输入攻击原理的基础上,提出一种输入验证的鱼骨刺测试模型。该模型根据每种攻击方式分门别类地设计测试方法和相应的测试用例,对Web各个交互文本框输入的数据进行全方位测试。同现有的方法相比,该模型对Web的测试更加全面,能有效防止多种Web攻击。 A fishbone test model for Web input validation is presented based on the analysis of four kinds of Web attacks including buffer overflow, XSS, SQL injection, and normalization. In order to prevent attacks from the persons with evil intention, strict input validation for every entering must be carried out. In the model,according to the attacking ways, some test methods and corresponding test cases are designed to test all kinds of data that come from Web input. Compared with the existing methods, this test model can prevent many kinds of Web attacks more effectively.

作者阚红星杨善林袁暋

机构地区合肥工业大学管理学院

出处《合肥工业大学学报（自然科学版）》 CAS CSCD 北大核心 2008年第4期527-530,共4页 Journal of Hefei University of Technology：Natural Science

基金国家自然科学基金资助项目(70471046) 教育部博士点基金资助项目(20040359004)

关键词 WEB攻击输入验证鱼骨刺测试模型 Web attack input validation fishbone test model

分类号 TP311.5 [自动化与计算机技术—计算机软件与理论]

引文网络
相关文献

参考文献9

1陈荻玲,怀进鹏.一种Web服务安全通信机制的研究与实现[J].计算机研究与发展,2004,41(4):679-688. 被引量：14
2Seo J, Kim H S, Cho S, et al. Web server attack categorization based on root causes and their locations[J]. Information Technology Coding and Computing, 2004, 26 (1): 90-96.
3Di Lucca G A, Fasolino A R, Mastoianni M,et al. Identifying cross site scripting vulnerabilities in Web applications [C]//Proceedings of Sixth IEEE International Workshop. Chicago, IL: IEEE Press, 2004:71-80.
4Offutt J, Wu Ye, Du Xaiochen, et al. Web application bypass testing[C]//IEEE International Symposium on Software Reliability Engineering. Bretagne, France: IEEE Press, 2004: 187-197.
5Microsoft Corporation. Web 安全威胁与对策[EB/OL]. http://www. microsoft. com/china/msdn/library/architec- ture/architecture/architecturetopic/ImpWebSec/IWsec-mod75. mspx? mfr=true,2007-05-25.
6Shao Zili, Xue Chun, Zhuge Qingfeng, et al. Efficient array & pointer bound checking against buffer overflow at- tacks via hardware/software[J]. Information Technology Coding and Computing, 2005,32(1) : 780-785.
7Wei Ke,Muthuprasanna M, Kothari S. Preventing SQL injection attacks in stored procedures[C]//Software Engineering Conference on attacks. Australia: IEEE Press, 2006 : 18-21.
8Maxion R A, Olszewski R T. Improving software robustness with dependability cases [EB/OL]. http://www. ca. cmu. edu/afs/cs. cmu. edu/user/maxion/www/pubs/maxionolszewski98. pdf, 2007-05-25.
9Ismail O, Etoh M,Kadobayashi Y,et al. A proposal and implementation of automatic detection/collection system for cross-site scripting vulnerability [C]//Advanced Information Networking and Applications, 18th International Conference on, Vol 1,2004 : 145-151.

二级参考文献11

1[1]D Austin, A Barbir. W3C Web services architecture requirements. Amsterdam: W3C, 2002. http://www.w3.org/TR/2002/WD-wsa-reqs-20020819
2[3]F Curbera, Y Goland. Business process execution language for Web services 1.0. New York, NY: IBM, 2002. http://www.ibm.com/developerworks/library/ws-bpel/
3[4]A Brown, B Fox. SOAP security extensions: Digital signature. Amsterdam: W3C, 2001. http://www.w3.org/TR/SOAP-dsig/
4[5]B Atkinson, G Della-Libera. Web services security (WS-Security), Version 1.0. Redmond, WA: Microsoft, 2002. http://msdn.microsoft.com/ws/2002/04/Security/
5[6]D Eastlake, J Reagle. XML encryption syntax and processing. Amsterdam: W3C, 2002. http://www.w3.org/TR/xmlenc-core/
6[8]D Eastlake, J Reagle. XML-signature syntax and processing. Amsterdam: W3C, 2002. http://www.w3.org/TR/xmldsig-core/
7[9]P Hallam-Bake. XML key management specification (XKMS), Version 2.0. Amsterdam: W3C, 2003. http://www.w3.org/TR/xkms2/
8[10]P Hallam-Baker, E Maler. Security assertion markup language (SAML), Version 1.0. Billerica, MA: OASIS, 2002. http://www.oasis-open.org/committees/security/docs/
9[11]Trust services integration kit. Mountain View, CA: Verisign, 2002. http://www.xmltrustcenter.org/developer/verisign/tsik/index.htm
10[12]Web applications and services platform (WASP), Version 4.5. Cambridge, MA: Systinet, 2003. http://www.systinet.com/products/overview

共引文献13

1陈晓苏,羿苗,肖道举.一种基于Agent的Web服务认证模型[J].计算机工程与科学,2006,28(7):1-3.
2夏阳,张强.基于Web Service的分布式电子商务系统设计与实现[J].微电子学与计算机,2006,23(10):100-103. 被引量：19
3孙志东,潘懋,吴自兴,张震伟.基于XML的地理信息元数据及空间数据安全[J].测绘通报,2007(9):61-63. 被引量：6
4刘念,张建华,段斌.基于XML Security的变电站远程配置安全机制设计[J].电力自动化设备,2009,29(2):113-116. 被引量：5
5郭华,段斌,邹吉昌.Web Services通信环境下的安全机制[J].电信快报（网络与通信）,2009(4):26-29.
6马力,蒋承延.一种Web安全服务体系结构模型的研究[J].重庆电力高等专科学校学报,2009,14(2):35-38.
7张小敏.电力企业信息系统集成技术的研究与应用[J].电力信息化,2011,9(9):77-79. 被引量：6
8李舜鹏,张明武.基于双线性对签名的安全移动客户端[J].信息网络安全,2013(5):67-69.
9段国云,陈浩.基于环结构技术的Web防篡改系统研究[J].计算机工程与应用,2013,49(14):92-97. 被引量：1
10杨雪,张庆,谢俊虎.互联网时代电力设备制造企业信息化集成研究[J].电力信息与通信技术,2016,14(6):27-31. 被引量：1

同被引文献13

1孔莉,郭曦,宋戈.企业动态网站应用程序开发——输入数据实时校验函数及使用方法(Javascript篇)[J].工具技术,2005,39(11):51-54. 被引量：1
2尹震宇,赵海,孙佩刚,林恺,罗玎玎.一种并行数据输入的循环冗余校验码算法设计[J].计算机工程与应用,2006,42(27):1-2. 被引量：3
3杜树杰.Web输入验证系统的对象化设计[J].计算机系统应用,2006,15(11):41-44. 被引量：2
4李纲.Struts2权威指南[M].北京:电子工业出版社,2008.
5Wails C. Web Applications with Spring MVC [ M ]. [ s. l. ]: Springer Press,2008.
6田华,杜磊.Struts2输入校验总结[EB/OL].2011-07-21.http://zhaohe162.blog.163.com/blog/static/38216797201045115612836/.
7Ren Y C. Research and Application on Automatic Generation Technology of JavaScript Input Validation [ J ]. Advances in Intelligent and Soft Computing ,2012,148( 1 ) :595-6001.
8百度百科.正则表达式[EB/OL].2011-07-20 http://baike.baidu.com/view/94238.htm.
9Groenewegen D M, Visser E. Integration of Data Validation and User Interface Concerns in a DSL for Web Applications[J]. Lecture Notes in Computer Science, 2010,5969 : 164- 173.
10王春林,耿祥义.Struts2的输入校验研究[J].软件导刊,2009,8(5):41-42. 被引量：1

引证文献1

1常革新,任永昌.Struts2框架校验文件自动生成技术[J].计算机技术与发展,2013,23(1):59-62. 被引量：2

二级引证文献2

1甘新玲,李永.局域网中基于XML技术搜索系统的设计与实现[J].滨州学院学报,2013,29(6):93-95.
2范书国,张春田.中国长足寄蝇亚科生物信息综合数据库的设计与实现[J].沈阳师范大学学报（自然科学版）,2014,32(2):248-251.

1张延红,范刚龙.SQL Server数据库安全漏洞及防范方法[J].计算机时代,2006(10):16-18. 被引量：5
2黄震.ASP.NET中的输入验证方法[J].高师理科学刊,2006,26(3):38-41. 被引量：1
3张建武,陈禹.软件代码安全问题分类原则[J].保密科学技术,2013,0(1):66-69. 被引量：1
4刘丽琳,岑柏滋.浅析网站数据库安全中的SQL注入及防范措施[J].和田师范专科学校学报,2007,27(1):188-189. 被引量：1
5MYSOL注入分析工具包[J].黑客防线,2005(B09):19-19.
6陈明忠.入侵检测技术在数据库系统的应用研究[J].计算机工程与科学,2009,31(4):79-80. 被引量：24
7孙红娜.谁动了你的Web？[J].网管员世界,2008(11):7-7.
8郁闷的火狐狸.后台网页之猜猜看[J].黑客防线,2005(B08):58-59.
9左烨,黄上腾.JSP应用的安全问题研究[J].计算机工程,2004,30(B12):265-267. 被引量：7
10曹琛,高能,向继,刘鹏.安卓系统服务中输入验证型漏洞的初步分析[J].信息安全学报,2016,1(1):1-11.

合肥工业大学学报（自然科学版）

2008年第4期

浏览历史

内容加载中请稍等...

一种Web输入验证的鱼骨刺测试模型被引量：1

参考文献9

二级参考文献11

共引文献13

同被引文献13

引证文献1

二级引证文献2

相关作者

相关机构

相关主题

浏览历史

一种Web输入验证的鱼骨刺测试模型 被引量：1

参考文献9

二级参考文献11

共引文献13

同被引文献13

引证文献1

二级引证文献2

相关作者

相关机构

相关主题

浏览历史

一种Web输入验证的鱼骨刺测试模型被引量：1