没有合适的资源?快使用搜索试试~ 我知道了~
软件影响14(2022)100426原始软件出版物Web安全和数据转储:Cookidump案例Enrico Cambiaso,Maurizio AielloConsiglio Nazionale delle Ricerche(CNR)-IEIIT Institute,意大利自动清洁装置关键词:网络安全数据转储数据库安全浏览器自动化代码元数据A B标准在Web安全领域,数据转储活动通常与恶意利用有关。本文在分析了现有文献的基础上,我们关注于通过抓取/存储浏览器上显示的数据而合法执行的数据转储活动。我们通过提出Cookidump来评估这种操作,Cookidump是一种能够转储Cookidoo©网站门户上所有可用食谱的工具。虽然这种情况是不相关的,在安全和隐私方面,我们讨论的影响,这类活动适用于其他场景,包括托管敏感信息的Web应用程序当前代码版本369028c6ac0f65f056871e0dccea3c7e8558d320用于此代码版本的代码/存储库的永久链接https://github.com/SoftwareImpacts/SIMPAC-2022-168Reproducible Capsule的永久链接不适用法律代码许可证MIT许可证使用git的代码版本控制系统使用Python的软件代码语言、工具和服务编译要求,操作环境依赖性GogleChromebrowser,ChromeWebDriver,Cookidoo©的有效帐户网站如果可用,链接到开发人员文档/手册https://github.com/auino/cookidump问题支持电子邮件enrico. cnr.it,maurizio. cnr.it1. 介绍在网络安全主题中,由于基于Web的通信的广泛传播,Web安全扮演着至关重要的角色[1]。如今,网络数据的交换有多种原因:不仅是为了浏览互联网,而且在使用自定义应用程序和应用程序时,与作为后端提供商的网络服务进行通信。让我们以社交网络为例:相同的服务(例如Facebook,Instagram,TikTok等)。通常不仅公开可浏览的Web界面,而且公开与安装在移动设备上的应用程序通信的Web服务。因此,充分保护Web应用程序和服务[2],准备和防止滥用这些服务是很重要的。在网络安全领域,存在对手可能利用的各种网络攻击[3],例如跨站脚本[4]、数据泄漏[5]、cookie劫持[6]、密码猜测[7]、应用程序拒绝服务[8]、基于僵尸网络的攻击[9]或SQL注入攻击[10]。通过考虑Web安全概念,在本文中,我们专注于数据安全,特别是数据转储活动,旨在*通讯作者。在本地存储对攻击者有用的数据库信息。为了执行数据转储,恶意用户可以利用特定的软件漏洞访问远程服务器系统[11],从而转储托管提供给服务用户的信息的整个数据库[12]。然而,在本文中,我们考虑了一种不同的可能性,用户可能会利用它来转储Web应用程序提供的信息。在我们的场景中,没有实施真正的网络攻击,因为攻击者没有利用服务的任何漏洞。因此,我们的攻击者不一定是恶意的。在我们的情况下,用户执行的活动SQL注入攻击[7]。用户的潜在恶意行为可能包括对所获取数据的后续共享,通常受版权保护为了验证我们的安全场景,我们实现了一个工具,倾倒Cookidoo©网站,这是一个为Bimby©(或Thermomix©)搅拌机用户设计的订阅门户网站[13],可以访问专为这种搅拌机设计转储工具,称为Cookidump,允许一个用户,一个有效的订阅帐户,电子邮件地址:enrico. cnr.it(E. Cambiaso),maurizio. cnr.it(M.Aiello)。1 更多信息可以在以下地址找到(2022年8月4日访问):https://sites.google.com/chromium.org/driver/。https://doi.org/10.1016/j.simpa.2022.100426接收日期:2022年8月5日;接收日期:2022年9月20日;接受日期:2022年9月23日2665-9638/©2022作者。由Elsevier B.V.出版。这是一篇开放获取的文章,使用CC BY许可证(http://creativecommons.org/licenses/by/4.0/)。可在ScienceDirect上获得目录列表软件影响杂志 首页:www.journals.elsevier.com/software-impactsE. Cambiaso和M. Aiello软件影响14(2022)1004262图1.一、 攻击功能概述。提取存储在门户网站上的所有食谱。通过利用Google Chrome的ChromeWebDriver1所提出的工具,有关的恶意工具的功能的计划,在图中报告。1.一、考虑到安全方面,参考图。1,该工具利用由远程web服务提供的数据访问,以本地存储/转储由远程web服务获得的所有信息我们的目标不是鼓励恶意活动的执行,而是提供一个可以支持离线访问的工具,用户合法订阅的数据。此外,我们的主要目标是证明,通过自动化浏览器活动,定制的软件可以执行数据转储活动,而不使用任何恶意/普遍的安全漏洞。2. 功能和主要特点所提供的Cookidump软件由一个Python程序组成,使用了以下非标准库:(i)beautifulsoup4,用于HTML抓取,(ii)selenium,用于浏览器自动化。安装依赖关系后,软件提供了一个基于文本的交互式界面,指导用户使用该工具。正因为如此,它被认为很容易运行。 执行支持用户可以执行的可定制搜索,以根据配方过滤转储的结果。例如,用户可能需要转储门户能够提供的所有启动器,或者仅转储支持其搅拌器版本的配方。Cookidump提供的输出由一个易于打开的基于HTML的输出表示,包括一个可浏览的转储食谱列表。该软件的序列图如图所示。 二、特别是,在用户运行Cookidump工具(通过指定一个输出目录作为数据转储存储)后,程序会自动启动。因此,向用户询问要采用的Cookidoo©门户的顶级域(tld)。此时,程序在软件控制的Web浏览器实例上打开门户的相关网页。因此,向用户提供了通过直接在门户上应用定制过滤器(通过web浏览器实例,其可以也可以由用户自己控制)。一旦所有的过滤器都设置好了,程序会循环页面上显示的所有元素,并将它们存储在用户最初指定的输出目录中。食谱被一个接一个地存储为单独的文件。图二. Cookidump软件工具的序列图。E. Cambiaso和M. Aiello软件影响14(2022)10042633. 影响概述该工具的影响与所考虑的特定门户无关。事实上,如果我们考虑这类工具,其影响涉及任何向其用户提供受限内容的Web服务。通过执行自动化的浏览器活动,Cookidump等工具可以适应底层服务,并提供向服务客户转储信息的可能性。因此,虽然在某些情况下,这种数据转储可能与恶意活动无关,但重要的是考虑到其他情况可能具有更相关的影响:让我们考虑一下,例如,向其客户提供列表的web服务敏感信息,例如,提供给其医生的医院的患者的数据、提供给其雇员的用户银行信息等。考虑到这样的示例,浏览器自动化软件的影响可能更相关,特别是考虑到雇员(医生、银行的雇员等)可能会暴露网络上受感染的主机,包括转储软件,通过利用员工到门户的凭据进行恶意操作,甚至出于其他原因(例如,可能在额外的工作时间内向攻击者提供远程控制的浏览器)。因此,鉴于利用浏览器自动化的潜在网络攻击,充分保护用户数据,从而保证他们的隐私是很重要的:为了解决这个问题,可以评估采用数据加密和数据混淆方法来防止泄漏[14,15]。此外,简化对潜在数据泄漏和随之而来的传播负责的用户的识别也很重要:在这种情况下,可以采用数据水印活动,将特定内容与请求它的用户相关联[16,17]。4. 结论和今后的工作在本文中,我们提出了Cookidump,一个工具,能够验证数据转储活动可以合法地执行(付费)用户在互联网上的订阅服务。通过执行浏览器自动化活动,Cookidump能够转储Cookidoo©网站上提供的所有食谱。虽然该工具不用于执行恶意活动,并且与非法活动的执行无关(数据共享的情况除外),但我们的目的是提出一个新的潜在问题,即可能利用浏览器自动化软件进行恶意活动。事实上,保护免受这种威胁可能不是直截了当的, 这类威胁可能是严重的,特别是对于提供敏感信息的服务。按照这一方向,今后关于这一专题的工作可侧重于在保护方面,通过评估能够识别并在需要/可能的情况下阻止数据转储活动或识别与转储数据共享有关的用户竞合利益作者声明,他们没有已知的竞争性财务利益或个人关系,可能会影响本文报告的工作引用[1]S. Attwood,W.利河,巴西-地Kharel,Web安全中的进化算法:探索未开发的潜力,在:2020年第12届通信系统,网络和数字信号处理国际研讨会,CSNDSP,IEEE,2020年,pp. 1比6[2] M.Hasnain , M.F. 帕 夏 岛 Ghani , Drupalcore8cachingmechanismforscalabilityimprovement of web services,Softw. 影响3(2020)100014.[3] J. Seo,H.- S. Kim,S.周,S。Cha,基于根本原因及其位置的Web服务器攻击分类,在:信息技术国际会议:编码和计算,2004年。诉讼ITCC 2004,第1卷,IEEE,2004年,第100页。90比96[4] G.E. Rodríguez,J.G. Torres,P. Flores,D. E. Benavides,跨站脚本(XSS)攻击和缓解:调查,Comput。网络166(2020)106960.[5] 安茹河Shreelekshmi,Fsecbir:一个更快的基于内容的云图像检索,Softw。影响11(2022)100224.[6] S.西瓦孔岛Polakis,A.D. Keromytis,破解的cookie jar:HTTP cookie劫持和私人信息的暴露,在:2016 IEEE安全和隐私研讨会,SP,IEEE,2016,pp。724-742。[7] A. Das,J. Bonneau,M. Caesar,N.鲍里索夫,X。Wang,The tangled web ofpasswordreuse,in:NDSS,vol. 14,(2014)2014,pp.23比26[8] E.坎比亚索湾帕帕莱奥湾Chiola,M. Aiello,A network traffic representationmodelfor detecting application layer attacks , Int. J. Comput. 数 字 。 系 统 5 ( 01 )(2016)。[9] B.维尼奥河Khoury,S. Hallé,A. Hamou-Lladj,僵尸网络模拟器:理解僵尸网络之间交互的模拟工具,Softw。影响10(2021)100173.[10] K.N. 杜 赖 河 Subha , A. Haldorai , A novel method to detect and preventSQLIAusing ontology to cloud web security,Wirel.个人通信117(4)(2021 )2995-3014。[11]R. Hiesgen , M. Nawrocki , T.C. 施 密 特 , M 。 Wählisch , The race to thevulnerable : Measuring the log4j shell incident , 2022 , arXiv preprintarXiv :2205.02544。[12] C. Northwood,存储数据,在:全栈开发人员,Springer,2018年,pp。251 -265。[13] M. Truninger , 在 招 聘 的 时 刻 与 bimby 一 起 烹 饪 : 探 索 惯 例 和 实 践 观 点 ,J.Consum。Culture 11(1)(2011)37-59.[14] X. Luo,P. Zhou,E.W.陈,W。Lee,R.K.昌河,巴西-地Perdisci等人,HTTPOS:Sealing information leaks with browser-side obfuscation of encrypted flows,in:NDSS,vol. 11,2011.[15] A. Continella,Y.Fratantonio,M.Lindorfer,A.Puccetti,A.赞德角克鲁格,G. Vigna,通过差异分析对移动应用程序进行模糊弹性隐私泄漏检测,在:NDSS,第17卷,2017年,第17页。10-14722[16] A. Anil,V.K. Shukla,V.P. Mishra,使用数字水印增强数据安全性,在:2020年智能工程与管理国际会议,ICIEM,IEEE,2020年,pp. 364-369[17]R. Naik,M.N. Gaonkar,使用水印技术在云中进行数据泄漏检测,在:2019年计算机通信和信息学国际会议,ICCCI,IEEE,2019年,pp. 1比6
下载后可阅读完整内容,剩余1页未读,立即下载
cpongm
- 粉丝: 5
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 新代数控API接口实现CNC数据采集技术解析
- Java版Window任务管理器的设计与实现
- 响应式网页模板及前端源码合集:HTML、CSS、JS与H5
- 可爱贪吃蛇动画特效的Canvas实现教程
- 微信小程序婚礼邀请函教程
- SOCR UCLA WebGis修改:整合世界银行数据
- BUPT计网课程设计:实现具有中继转发功能的DNS服务器
- C# Winform记事本工具开发教程与功能介绍
- 移动端自适应H5网页模板与前端源码包
- Logadm日志管理工具:创建与删除日志条目的详细指南
- 双日记微信小程序开源项目-百度地图集成
- ThreeJS天空盒素材集锦 35+ 优质效果
- 百度地图Java源码深度解析:GoogleDapper中文翻译与应用
- Linux系统调查工具:BashScripts脚本集合
- Kubernetes v1.20 完整二进制安装指南与脚本
- 百度地图开发java源码-KSYMediaPlayerKit_Android库更新与使用说明
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功