×
李晓伟薛、袁。

关于保护web应用程序的服务器端方法的调查。 (英语) Zbl 1305.68035号

ACM计算。Surv公司。 46,第4号,第54号论文,29页(2014).

MSC公司:

68英里11 互联网主题
68-02 与计算机科学有关的研究展览会(专著、调查文章)

关键词:

web应用程序安全输入验证漏洞会话管理漏洞应用程序逻辑漏洞

软件:

寓言失忆症Jif公司WAPTEC公司赛纳牌手表皮克斯
PDF格式BibTeX公司 XML格式引用
\textit{X.Li}和\textit{Yuan.Xue},美国计算机学会。Surv公司。46,第4号,第54号论文,29页(2014;Zbl 1305.68035)
全文: 内政部

参考文献:

[1] MySpace。2005.MySpace Samy蠕虫。http://namb.la/popular/tech.html。
[2] 马可·巴尔杜齐(Marco Balduzzi)、卡门·托拉诺·吉梅内斯(Carmen Torrano Gimenez)、大卫·巴尔扎罗蒂(Davide Balzarotti)和基尔达(Engin Kirda)。2011.自动发现web应用程序中的参数污染漏洞。在NDSS’11:第八届年度网络和分布式系统安全研讨会论文集。
[3] 大卫·巴尔扎罗蒂、马可·科娃、维卡·费尔梅茨格、内纳德·约万诺维奇、工程基尔达、克里斯托弗·克鲁格尔和乔瓦尼·维格纳。2008.Saner:撰写静态和动态分析,以验证web应用程序中的清理。2008年奥克兰:第29届IEEE安全与隐私研讨会会议记录。387–401.
[4] 大卫·巴尔扎罗蒂(Davide Balzarotti)、马可·科娃(Marco Cova)、维克多莉亚·费尔梅茨格(Viktoria V.Felmetsger)和乔瓦尼·维格纳(Giovanni Vigna)。2007.基于web的应用程序的多模块漏洞分析。CCS’07:第14届ACM计算机和通信安全会议记录。25–35. ·数字对象标识代码:10.1145/1315245.131520
[5] Sruthi Bandhakavi、Prithvi Bisht、P.Madhusudan和V.N.Venkatakrishnan。2007年。CANDID:使用动态候选评估来防止SQL注入攻击。CCS’07:第14届ACM计算机和通信安全会议记录。12–24. ·文件编号:10.1145/1315245.1315249
[6] 亚当·巴思、胡安·卡巴列罗和《黎明之歌》。2009年。安全的网络浏览器内容嗅探,或如何阻止论文自我审查。2009年奥克兰:第30届IEEE安全与隐私研讨会会议记录。360–371之间。
[7] 亚当·巴特、科林·杰克逊和约翰·米切尔。2008.针对跨站点请求伪造的强大防御。CCS’08:第15届ACM计算机和通信安全会议记录。75–88. ·doi:10.1145/1455770.1455782
[8] 杰森·鲍(Jason Bau)、埃利·布尔斯坦(Elie Bursztein)、迪维吉·古普塔(Divij Gupta)和约翰·米切尔(John Mitchell)。2010年,最新技术:自动黑盒网络应用程序漏洞测试。2010年奥克兰:第31届IEEE安全与隐私研讨会会议记录。332–345.
[9] Prithvi Bisht、Timothy Hinrichs、Nazari Skrupsky、Radoslaw Bobrowicz和V.N.Venkatakrishnan。2010年a。NoTamper:自动黑箱检测web应用程序中的参数篡改机会。CCS’10:第17届ACM计算机和通信安全会议记录。
[10] Prithvi Bisht、A.Prasad Sistla和V.N.Venkatakrishnan。2010年b。自动准备安全SQL查询。FC'10:第14届金融加密和数据安全国际会议论文集。
[11] Prithvi Bisht、Timothy Hinrichs、Nazari Skrupsky和V.N.Venkatakrishnan。2011年,WAPTEC:针对参数篡改漏洞构造的web应用程序白盒分析。CCS’11:第18届ACM计算机和通信安全会议记录。575–586.
[12] Prithvi Bisht和V.N.Venkatakrishnan。XSS-GUARD:精确动态地防止跨站点脚本攻击。2008年DIMVA:第五届入侵和恶意软件检测及脆弱性评估国际会议论文集。
[13] 斯蒂芬·博伊德(Stephen W.Boyd)和安吉洛斯·科洛米提斯(Angelos D.Keromytis)。2004.SQLrand:防止SQL注入攻击。在ACNS’04:第二届应用密码术和网络安全会议论文集。292–302. ·Zbl 1103.68509号 ·doi:10.1007/978-3-540-24852-121
[14] Avik Chaudhuri和Jeffrey S.Foster。2010年,ruby-on-rails网络应用程序的符号安全分析。CCS’10:第17届ACM计算机和通信安全会议记录。
[15] 艾瑞卡·钦和大卫·瓦格纳。2009.高效的Java字符级污点跟踪。《2009年ACM安全Web服务研讨会论文集》(SWS'09)。3–12. ·数字对象标识代码:10.1145/1655121.1655125
[16] 亚当·克利帕拉(Adam Chlipala)。2010年,对数据库支持应用程序中动态变化的安全策略进行静态检查。在OSDI’10:第九届USENIX操作系统设计与实现会议论文集·Zbl 1211.68367号
[17] Stephen Chong、K.Vikram和Andrew C.Myers。2007年a。SIF:在web应用程序中加强机密性和完整性。在USENIX'07:第16届USENIX安全研讨会会议记录。
[18] 斯蒂芬·冲、杰德·刘、安德鲁·迈尔斯、辛琪、K.维克兰、郑蓝天和辛正。2007年b月。通过自动分区保护web应用程序。在SOSP'07:第21届ACM SIGOPS操作系统原理研讨会论文集。31–44. ·doi:10.1145/1294261.1294265
[19] Brian J.Corcoran、Nikhil Swamy和Michael Hicks。2009.针对web应用程序的跨层、基于标签的安全实施。2009年SIGMOD:第35届SIGMOD国际数据管理会议记录。269–282. ·doi:10.1145/1559845.1559875
[20] 马可·科娃(Marco Cova)、大卫·巴尔扎罗蒂(Davide Balzarotti)、维多莉亚·费尔梅茨格(Viktoria Felmetsger)和乔瓦尼·维格纳(Giovanni Vigna)。2007年a。Swadler:一种基于异常的web应用程序状态违规检测方法。RAID’07:第十届入侵检测最新进展国际研讨会论文集。63–86. ·数字对象标识代码:10.1007/978-3-540-74320-04
[21] 马可·科瓦(Marco Cova)、维多莉亚·费尔梅茨格(Viktoria Felmetsger)和乔瓦尼·维格纳(Giovanni Vigna)。2007年b。web应用程序的漏洞分析。在《Web服务测试与分析》中,L.Baresi和E.Dinitto(编辑)。斯普林格。 ·doi:10.1007/978-3-540-72912-9_13
[22] 迈克尔·道尔顿(Michael Dalton)、克里斯托斯·科兹拉基斯(Christos Kozyrakis)和尼科莱·泽尔多维奇(Nickolai Zeldovich)。2009.复仇女神:防止web应用程序中的身份验证和访问控制漏洞。在USENIX'09:第18届USENIX安全研讨会会议记录。267–282.
[23] Adam Doup…,布莱斯·博伊(Bryce Boe)、克里斯托弗·克鲁格尔(Christopher Kruegel)和乔瓦尼·维格纳(Giovanni Vigna)。2011.害怕EAR:发现并减轻重定向漏洞后的执行。CCS’11:第18届ACM计算机和通信安全会议记录。
[24] 亚当·杜普(Adam Doup);,卢多维科·卡维登(Ludovico Cavedon)、克里斯托弗·克鲁格尔(Christopher Kruegel)和乔瓦尼·维格纳(Giovanni Vigna)。2012.国家的敌人:国家软件黑盒漏洞扫描器。在USENIX’12:USENIX安全研讨会论文集。华盛顿州贝尔维尤。
[25] 亚当·杜普(Adam Doup);,马可·科瓦(Marco Cova)和乔瓦尼·维格纳(Giovanni Vigna)。2010年,为什么Johnny不能抑制:对黑盒网络漏洞扫描器的分析。《DIMVA’10:入侵和恶意软件检测及漏洞评估会议记录》。
[26] 脸谱网。Facebook赏金计划。https://www.facebook.com/whitehat。
[27] 维克多莉亚·费尔梅茨格、卢多维科·卡文登、克里斯托弗·克鲁格尔和乔瓦尼·维格纳。2010年。实现web应用程序中逻辑漏洞的自动检测。USENIX'10:第19届USENIX安全研讨会会议记录。
[28] 哈里森·菲斯克。2004.准备好的声明。http://en.wikipedia.org/wiki/Prepared_statement。
[29] 华金·加西亚·阿尔法罗(Joaquin Garcia-Alfaro)和吉列尔莫·纳瓦罗·阿里巴斯(Guillermo Navarro-Arribas)。2008年。关于防止对当前web应用程序进行跨站点脚本攻击的检测技术的调查。CRITIS’07:第二届关键信息基础设施安全国际会议记录。287–298. ·Zbl 05706340号 ·doi:10.1007/978-3-540-89173-4_24
[30] 约克ín加尔茨ía-Alfaro和Guillermo Navarro-Arribas。2009年。跨站点脚本攻击调查。CoRR:计算研究库。http://arxiv.org/abs/0905.4850。
[31] Gmail CSRF安全缺陷。2007http://ajaxian.com/archives/gmail-csrf-security-frait。
[32] 谷歌。谷歌悬赏计划。http://www.google.com/about/appsecurity/reward program/。
[33] Arjun Guha、Shriram Krishnamurthi和Trevor Jim。2009.使用静态分析进行Ajax入侵检测。WWW'09:第18届万维网国际会议记录。561–570. ·doi:10.1145/1526709.1526785
[34] 马修·范甘迪和郝晨。2009年。非空间:使用随机化来加强信息流跟踪并挫败XSS攻击。2009年NDSS:第16届网络和分布式系统安全年会论文集。
[35] Vivek Haldar、Deepak Chandra和Michael Franz。2005.Java的动态污点传播。ACSAC’05:第21届年度计算机安全应用会议论文集。303–311.
[36] William G.J.Halfond和Alessandro Orso。2005.AMNESIA:中性SQL注入攻击的分析和监控。ASE’05:第20届IEEE和ACM自动化软件工程国际会议论文集。
[37] William G.J.Halfond、Jeremy Viegas和Alessandro Orso。2006年a。SQL注入攻击和对策的分类。安全软件工程国际研讨会论文集。
[38] William G.J.Halfond、Alessandro Orso和Panagiotis Manolios。2006年b。使用正向污染和语法软件评估来对抗SQL注入攻击。在SIGSOFT’06/FSE-14:第14届ACM SIGSOFT-软件工程基础国际研讨会论文集。175–185·doi:10.1145/1181775.1181797
[39] 彼得·胡伊梅耶尔(Pieter Hooimeijer)、本杰明·利夫希茨(Benjamin Livshits)、大卫·莫尔纳(David Molnar)、普拉蒂克·萨克塞纳(Pratek Saxena)和玛格斯·维纳斯(Margus Veanes)。2011年,使用BEK快速准确地分析消毒剂。第20届美国证券交易委员会安全会议记录(SEC'11)。
[40] 黄耀文、黄石坤、林宗波和蔡忠洪。2003年。通过错误注入和行为监控进行Web应用程序安全评估。WWW’03:第12届万维网国际会议论文集。148–159之间。
[41] 黄耀文、方瑜、杭晓霞、蔡忠洪、李德赛和郭锡彦。2004.通过静态分析和运行时保护保护web应用程序代码。WWW’04:第13届万维网国际会议记录。40–52. ·doi:10.1145/988672.988679
[42] 肯尼思·英格姆(Kenneth L.Ingham)和井上和美(Hajime Inoue)。2007.比较HTTP的异常检测技术。RAID’07:第十届入侵检测最新进展国际会议论文集。42–62之间·数字对象标识代码:10.1007/978-3-540-74320-03
[43] 肯尼思·英格姆(Kenneth L.Ingham)、安妮尔·索马亚吉(Anil Somayaji)、约翰·伯格(John Burge)和斯蒂芬妮·福雷斯特(Stephanie Forrest)。2007.学习HTTP的DFA表示法以保护web应用程序。计算机网络51、1239–1255·Zbl 1112.68005号 ·doi:10.1016/j.comnet.2006.09.016
[44] 特雷弗·吉姆、尼基·斯瓦米和迈克尔·希克斯。2007.使用浏览器增强的嵌入式策略击败脚本注入攻击。WWW'07:第16届万维网国际会议记录。601–610. ·doi:10.1145/1242572.1242654
[45] 马丁·约翰斯(Martin Johns)、比约恩·恩格曼(Bjorn Engelmann)和约阿希姆·波塞加(Joachim Posegga)。XSSDS:跨站点脚本攻击的服务器端检测。在ACSAC'08:第24届计算机安全应用年会论文集。335–344.
[46] 保罗·约翰斯顿。2004.Web上的身份验证和会话管理。http://www.sans.org/阅读_文件室/白皮书/网络服务器/身份验证-会话管理-web_1545。
[47] 马丁·约翰斯和朱斯塔斯·温特。2006.RequestRodeo:针对会话骑行的客户端保护。在OWASP AppSec欧洲。
[48] Nenad Jovanovic、Engin Kirda和Christopher Kruegel。2006年a。防止跨站点请求伪造攻击。2006年安全通信:第二届通信网络安全与隐私国际会议。1–10.
[49] Nenad Jovanovic、Engin Kirda和Christopher Kruegel。2006年b。Pixy:用于检测Web应用程序漏洞的静态分析工具。2006年奥克兰:第27届IEEE安全与隐私研讨会会议记录。258–263.
[50] Nenad Jovanovic、Engin Kirda和Christopher Kruegel。2006年c。用于Web应用程序漏洞语法检测的精确别名分析。ACM SIGPLAN编程语言和安全分析研讨会。
[51] Gaurav S.Kc、Angelos D.Keromytis和Vassilis Prevelakis。2003.使用指令集随机化对抗代码注入攻击。CCS’03:第十届ACM计算机和通信安全会议记录。272–280之间·doi:10.1145/948109.948146
[52] Adam Kiezun、Philip J.Guo、Karchound Jayaraman和Michael D.Ernst。2009.自动创建SQL注入和跨站点脚本攻击。在ICSE'09:第31届国际软件工程会议论文集。199-209。
[53] Engin Kirda、Christopher Kruegel、Giovanni Vigna和Nenad Jovanovic。2006.Noxes:一种用于缓解跨站点脚本攻击的客户端解决方案。SAC'06:2006年ACM应用计算研讨会论文集。330–337. ·doi:10.1145/1141277.1141357
[54] 阿克谢·克里希纳穆西(Akshay Krishnamurthy)、阿德里安·梅特勒(Adrian Mettler)和大卫·瓦格纳(David Wagner)。2010.web应用程序的细粒度权限分离。WWW'10:第19届万维网国际会议论文集。551–560. ·doi:10.145/1772690.17772747
[55] 克里斯托弗·克鲁格尔(Christopher Kruegel)和乔瓦尼·维格纳(Giovanni Vigna)。2003.网络攻击的异常检测。CCS’03:第十届ACM计算机和通信安全会议记录。251–261. ·doi:10.1145/948109.948144
[56] 克里斯托弗·克鲁格尔(Christopher Kruegel)、乔瓦尼·维格纳(Giovanni Vigna)和威廉·罗伯逊(William Robertson)。2005.检测基于web的攻击的多模型方法。计算机网络48,5(2005年8月),717-738·doi:10.1016/j.comnet.2005.01.009
[57] 莫妮卡·兰姆、迈克尔·马丁、本杰明·利夫希茨和约翰·惠利。2008.通过静态和动态信息流跟踪保护web应用程序的安全。2008年政治公众人物会议:2008年ACM SIGPLAN部分评估和基于语义的程序操作研讨会会议记录。3–12. ·数字对象标识代码:10.1145/1328408.1328410
[58] 李晓伟和袁雪。2011.BLOCK:一种用于检测针对web应用程序的状态违规攻击的黑盒方法。ACSAC’11:第27届年度计算机安全应用会议论文集。
[59] 李晓伟和袁雪。2013.LogicScope:自动发现web应用程序中的逻辑漏洞。第八届亚洲计算机学会信息、计算机和通信安全研讨会论文集。
[60] 李晓伟、魏燕和袁雪。2012.SENTINEL:保护数据库免受web应用程序中逻辑缺陷的影响。CODASPY'12:第二届ACM数据和应用程序安全与隐私会议记录。25–36之间。
[61] V.本杰明·利夫希茨和莫妮卡·兰姆。2005.使用静态分析查找Java应用程序中的安全漏洞。在USENIX'05:第14届USENIX安全研讨会会议记录。18
[62] 费德里科·马吉(Federico Maggi)、威廉·罗伯逊(William Robertson)、克里斯托弗·克鲁格尔(Christopher Kruegel)和乔瓦尼·维格纳(Giovanni Vigna)。2009.保护移动目标:解决web应用程序概念漂移问题。RAID'09:第12届入侵检测最新进展国际研讨会论文集。21-40岁·Zbl 05611621号 ·doi:10.1007/978-3-642-04342-02
[63] 毛自清、李宁辉和伊恩·莫洛伊。2009.通过浏览器增强的真实性保护,击败跨站点请求伪造攻击。2009年FC:第13届金融加密和数据安全国际会议论文集。238–255. ·兹伯利05654211 ·doi:10.1007/978-3642-03549-4_15
[64] 格瓦西·马卡姆。2006.内容限制。http://www.gerv.net/security/content-restrictions/。
[65] 迈克尔·马丁和莫妮卡·兰姆。2008.使用目标导向的模型检查自动生成XSS和SQL注入攻击。2008年USENIX:第17届USENIX安全研讨会会议记录。31–43.
[66] 肖恩·麦卡利斯特(Sean Mcallister)、基尔达(Engin Kirda)和克里斯托弗·克鲁格尔(Christopher Kruegel)。2008年。利用用户交互深入测试web应用程序。RAID'08:第11届入侵检测最新进展国际研讨会论文集。191–210. ·Zbl 05357361号 ·doi:10.1007/978-3-540-87403-4_11
[67] Russell A.McClure和Ingolf H.Krü格尔。2005.SQL DOM:动态SQL语句的编译时检查。2005年ICSE:第27届国际软件工程会议论文集。88–96。
[68] 阿德里安·梅特勒(Adrian Mettler)、大卫·瓦格纳(David Wagner)和泰勒·克洛斯(Tyler Close)。2010年,Joe-E:Java面向安全的子集。NDSS’10:第17届年度网络和分布式系统安全研讨会论文集。357–374.
[69] Yasuhiko Minamide。2005.动态生成网页的静态近似。WWW'05:第14届万维网国际会议记录。432–441. ·doi:10.1145/1060745.1060809
[70] Andrew C.Myers、Lantian Zheng、Steve Zdancewic、Stephen Chong和Nathaniel Nystrom。n.d.Jif:Java信息流。http://www.cs.cornell.edu/jif。
[71] Yacin Nadji、Pratek Saxena和Dawn Song。2009年。文档结构完整性:跨站点脚本防御的坚实基础。2009年NDSS:第16届网络和分布式系统安全年会论文集。
[72] Florian Nentwich、Nenad Jovanovic、Engin Kirda、Christopher Kruegel和Giovanni Vigna。2007.通过动态数据污染和静态分析防止跨站点脚本编写。2007年NDSS:第14届网络和分布式系统安全研讨会论文集。
[73] Anh Nguyen-tuong、Salvatore Guarnieri、Doug Greene、Jeff Shirley和David Evans。2005.使用精确污染自动强化web应用程序。在第20届IFIP国际信息安全会议记录中。372–382.
[74] 无脚本。NoScript功能:防-XSS保护。http://noscript.net/。
[75] OWASP前10名。2013.开放式Web应用程序安全项目十大安全风险(2013年2月)。http://www.owasp.org/index.php/Top_10_2013
[76] 克里斯·帕尔默。2008.使用Cookie为Web应用程序进行安全会话管理。https://www.isecpartners.com/media/2009/web-session-management.pdf。
[77] 布莱恩·帕诺(Bryan Parno)、乔纳森·麦库恩(Jonathan M.McCune)、丹·温德兰特(Dan Wendlandt)、大卫·安徒生(David G.Andersen)和阿德里安·佩里格(Adrian Perrig)。2009年CLAMP:大规模数据泄漏的实际预防。2009年奥克兰:第30届IEEE安全与隐私研讨会会议记录。
[78] Tadeusz Pietraszek和Chris Vanden Berghe。2005.通过上下文敏感字符串评估防御注入攻击。RAID'05:第八届入侵检测最新进展国际研讨会论文集。
[79] 栏杆。Ruby-on-Rails安全指南。http://guides.rubyonrails.org/security.html。
[80] Charles Reis、John Dunagan、Helen J.Wang、Opher Dubrovsky和Saher Esmeir。2006.BrowserShield:动态HTML的漏洞驱动过滤。2006年OSDI:第七届操作系统设计与实现研讨会论文集。61–74.
[81] 威廉·罗伯逊和乔瓦尼·维格纳。2009.通过强类型静态实施web应用程序完整性。在USENIX'09:第18届USENIX安全研讨会会议记录。283–298.
[82] 威廉·罗伯逊(William Robertson)、乔瓦尼·维格纳(Giovanni Vigna)、克里斯托弗·克鲁格尔(Christopher Kruegel)和理查德·凯默勒(Richard Kemmer)。2006.在基于异常的web攻击检测中使用泛化和特征化技术。2006年NDSS:第13届网络和分布式系统安全研讨会论文集。
[83] 大卫·罗斯。IE 8 XSS过滤器体系结构。http://blogs.technet.com/swi/archive/2008/08/19/ie-8-xss-filter建筑实施.aspx。
[84] Mike Samuel、Pratek Saxena和Dawn Song。2011.使用类型限定符的web模板语言中的上下文敏感自动隔离。CCS’11:第18届ACM计算机和通信安全会议记录。587–600之间。
[85] Prateek Saxena、Steve Hanna、Pongsin Poosankam和Dawn Song。2010年a。FLAX:系统地发现富web应用程序中的客户端验证漏洞。NDSS’10:第17届年度网络和分布式系统安全研讨会论文集。
[86] Prateek Saxena、Devdatta Akhawe、Steve Hanna、Feng Mao、Stephen McCamant和Dawn Song。2010年b。JavaScript的符号执行框架。2010年IEEE安全与隐私研讨会论文集。513–528. ·doi:10.1109/SP.2010.38
[87] Prateek Saxena、David Molnar和Benjamin Livshits。SCRIPTGUARD:针对大型遗留web应用程序的自动上下文敏感清理。CCS’11:第18届ACM计算机和通信安全会议记录。601–614.
[88] Theodoor Scholte、William Robertson、Davide Balzarotti和Engin Kirda。2012.通过自动类型分析防止web应用程序中的输入验证漏洞。2012年COMPSAC:IEEE第36届计算机软件和应用年会会议记录。
[89] 大卫·斯科特和理查德·夏普。2002.抽象应用程序级web安全。WWW'02:第11届万维网国际会议记录。396–407.
[90] R.塞卡尔。2009年。一种有效的黑盒技术,用于抵御web应用程序攻击。2009年NDSS:第16届网络和分布式系统安全年会论文集。
[91] 埃里克·谢里登。2008年。OWASP CSRFGuard项目。http://www.owasp.org/index.php/CSRF_Guard。
[92] 索尔·森、凯瑟琳·麦金利和维塔利·什马蒂科夫。2011.角色扮演:当你不知道什么是安全检查时,发现缺少安全检查。在OOPSLA’11:ACM SIGPLAN第26届面向对象编程、系统、语言和应用年度会议记录。1069–1084.
[93] 宋英波(Yingbo Song)、安杰洛斯·科洛米提斯(Angelos D.Keromytis)和萨尔瓦托雷·斯托尔福(Salvatore J.Stolfo)。2009年。光谱图:用于网络流量异常检测的马尔可夫链混合模型。2009年NDSS:第16届网络和分布式系统安全年会论文集。
[94] Sid Stamm、Brandon Sterne和Gervase Markham。2010年,通过内容安全政策控制网络。第19届万维网国际会议论文集(WWW'10)。921–930. ·数字对象标识代码:10.1145/1772690.1772784
[95] 苏振东和加里·沃瑟曼。2006.web应用程序中命令注入攻击的本质。POPL'06:第33届ACM SIGPLAN-SIGACT编程语言原理研讨会会议记录。372–382. ·Zbl 1369.68158号
[96] 孙方琦,徐亮,苏振东,2011。静态检测web应用程序中的访问控制漏洞。USENIX'11:第20届USENIX安全研讨会会议记录。
[97] Nikhil Swamy、Brian J.Corcoran和Michael Hicks。寓言:一种用于实施用户定义的安全策略的语言。2008年奥克兰:第29届IEEE安全与隐私研讨会会议记录。369–383.
[98] 汤朔、麦浩辉和塞缪尔·金。2010年。对伊利诺伊州浏览器操作系统的信任和保护。OSDI’10:第九届USENIX操作系统设计与实现会议记录。1–8.
[99] Mike Ter Louw和V.N.Venkatakrishnan。2009.蓝图:精确的浏览器中性预防跨站点脚本攻击。2009年奥克兰:第30届IEEE安全与隐私研讨会会议记录。
[100] 弗雷德里克·瓦勒尔(Fredrik Valeur)、达伦·穆茨(Darren Mutz)和乔瓦尼·维格纳(Giovanni Vigna)。2005.基于学习的SQL攻击检测方法。2005年DIMVA:入侵和恶意软件检测及漏洞评估会议记录。123–140. ·doi:10.1007/11506881_8
[101] 威瑞森。2010年,Verizon 2010年数据泄露调查报告。http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf。
[102] K.Vikram、Abhishek Prateek和Benjamin Livshits。2009.Ripley:通过复制执行自动保护web 2.0应用程序。CCS'09:第16届ACM计算机和通信安全会议记录。173–186. ·doi:10.1145/1653662.1653685
[103] 海伦·J·王(Helen J.Wang)、克里斯·格里尔(Chris Grier)、亚历山大·莫舒克(Alexander Moshchuk)、塞缪尔·金(Samuel T.King)、皮亚利·乔杜里(Piali Choudhury)和赫尔曼·文特(He。2009年,瞪羚浏览器的多主体操作系统建设。在USENIX'09:第18届USENIX安全研讨会会议记录。417–432.
[104] 王锐、陈朔、王晓峰和沙兹·卡迪尔。2011.如何在线免费购物—基于收银员即服务的网络商店的安全性分析。2011年奥克兰:第32届IEEE安全与隐私研讨会会议记录。
[105] WASS公司。2007年Web应用程序安全统计。http://projects.webappsec.org/w/page/12246989/WebApplication/SecurityStatistics。
[106] Gary Wassermann和Zhendong Su.2007。对web应用程序的注入漏洞进行可靠而精确的分析。在PLDI’07:2007年ACM SIGPLAN编程语言设计和实现会议记录。32–41. ·数字对象标识代码:10.1145/1250734.1250739
[107] Gary Wassermann和Zhendong Su.2008。静态检测跨站点脚本漏洞。在ICSE'08:ACM/IEEE第30届软件工程国际会议论文集。
[108] Joel Weinberger、Prateek Saxena、Devdatta Akhawe、Matthew Finifter、Richard Shin和Dawn Song。2011.web应用程序框架中XSS清理的系统分析。ESORICS’11:第16届欧洲计算机安全研究研讨会会议记录。
[109] 怀特哈特。2010年,WhiteHat网站安全统计报告2010。https://www.whitehatsec.com/resource/stats.html。
[110] 谢一晨和亚历克斯·艾肯。2006.脚本语言中安全漏洞的静态检测。在USENIX'06:第15届USENIX安全研讨会会议记录。
[111] 叶亚历山大(Alexander Yip)、王熙(Xi Wang)、尼科莱·泽尔多维奇(Nickolai Zeldovich)和M.弗兰斯·卡索克(M.Frans Kaashoek)。2009.使用数据流断言提高应用程序安全性。在SOSP'09:ACM SIGOPS第22届操作系统原理研讨会论文集。291–304. ·数字对象标识代码:10.1145/1629575.1629604
[112] 于达川(Dacchuan Yu)、阿杰·钱德(Ajay Chander)、纳耶姆·伊斯兰(Nayeem Islam)和伊戈尔·斯里科夫(Igor Serikov)。2007。用于浏览器安全的JavaScript工具。POPL'07:第34届ACM SIGPLAN-SIGACT编程语言原理年度研讨会论文集。237–249. ·Zbl 1295.68056号 ·doi:10.1145/1190216.1190252
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。