基于动态模糊测试和机器学习的智能合约漏洞检测方法

智能合约的出现和发展拓宽了区块链的应用场景和现实意义,但频繁的安全事故给区块链的发展带来了障碍。但是,智能合约漏洞进行完备性和安全性分析的方法仍未被提出。当前对于智能合约的安全保障主要依靠专家审计和人工复查,该方式不能保证代码的绝对安全。针对智能合约漏洞挖掘的误报率、低效能等问题,在动态模糊测试和机器学习方法的基础上,提出一种适用于智能合约漏洞的检测方法与模型。该方法提高了智能合约漏洞挖掘的自动化程度和准确性。     

基于防御规则探测的XSS漏洞检测工具的设计与实现

非常多的开发人员面对测试工具扫描出的XSS漏洞的修复办法是在过滤规则中添加工具的PoC用例,导致在回归测试中通过测试工具的扫描但并未真正修复漏洞。通过对常见I型和II型XSS防御办法的研究,提出通过针对系统已有的防御规则的自动探测,动态构造XSS测试用例的技术,并在原型系统上进行验证。实验表明,该方法在回归测试的检测中能有效发现漏洞。     

基于软件测试的软件质量分析研究

根据ISO/IEC9126的原则和要求,分析软件测试时,按照软件自身特点对软件进行质量评价的可行性方法.分析代码度量与软件质量属性的相关性;推荐代码度量数据的收集方法和收集元素;最后以Rayleigh模型为例,说明收集代码度量数据在动态基于时间关系的软件缺陷预测评估中的应用.     

一种改进的Web应用越权漏洞自动化检测方法研究及实现

随着计算机技术与信息产业的高速发展,Web应用系统在多方领域都得到广泛的应用。为了弥补传统商业软件对于Web应用越权漏洞检测能力的不足,针对越权漏洞的检测方法做了深入研究,提出了一种改进的越权缺陷漏洞检测方法,并使用脚本语言实现针对该漏洞的自动化检测。     

即时通讯软件Secret的数据提取方法研究

Secret软件是境外一款基于区块链技术的社交类APP.由于该APP的数据不存储在本地,所以无法直接通过常规方式提取数据.通过分析Secret软件的功能及特性,从移动终端禁止联网的情况和可以联网的情况两个方面提取数据出发,介绍了四种提取数据的方法,之后通过具体案例的数据提取对提取方法进行了验证.     

基于“网防G01”及大数据技术的网站安全风险监测系统设计与应用

现有的政府互联网站安全监测手段多为针对网站的漏洞扫描系统,通过多年的应用,此类手段的缺陷在于:漏洞数据仅能体现信息安全的单一维度,存在不少漏洞较多的网站,由于其数据资产价值较低,往往不会成为攻击者攻击破坏的对象。因此,仅仅通过漏洞扫描系统,无法全面反应政府网站安全状态,只有通过对由资产、威胁、漏洞三者共同构成的风险概念的监测,才能全面地反应被监测网站的信息安全状态。通过利用"网防G01"系统及漏洞扫描平台获取的被监测网站的威胁数据和漏洞数据,形成了对被监控系统较为全面的风险监控。经实践应用,系统能够直观地反应被监测网站的风险状态,为主管单位对大规模网站进行安全监管提供了便利的技术手段。     

内部控制缺陷对审计收费影响的文献综述

正内部控制缺陷,是内部控制在计划或者是运行中存在的欠缺和漏洞。进入21世纪,随着美国国会通过SarbanesOxley Act法案(简称SOX法案)、中国财政部《内部会计控制规范——基本规范》《企业内部控制配套指引》发布,国内外学者就内部控制缺陷和审计收费的相关性进行了广泛研究,取得了丰富的实证成果。研究主要集中在内部控制缺陷及其被披露,内部控制缺陷的类型、程度以及修正对审计收费的影响作用等方面。     

析虚开增值税发票的有关问题及侦察方法

新税制出台后,犯罪分子为牟取暴利,瞄准制度漏洞和管理缺陷,利用巧妙的作案手法和"技术"处理,大量虚开增值税专用发票,严重危害国民经济。文中针对该类犯罪案件的作案手段、特点,结合我国目前面临的侦办该类案件时的一般困难,提出了预防和减少该类犯罪的几点建议。     

基于ATT&CK的主机安全监测实践

分析研究了ATT&CK框架中的攻防技战术,并对攻击者使用的高频技术Top 20涉及的具体程序、命令及脚本文件进行了研究。通过研究当前网络安全业界的ATT&CK实践,提出一种通过监控系统核心命令和程序监控文件访问权限的监测跟踪方法。此方法的创新点在于能够监测ATT&CK框架中入侵攻击的主要攻击手段,发现绝大部分入侵应用服务器的攻击者行为,在零日漏洞攻击监测方面具有较高的应用价值。     

建设工程项目中腐败现象的根源及预防措施

目前,建设工程项目中的腐败现象比较严重。工程项目管理中的漏洞使不法分子牟取暴利成为可能。必须加强制度预防、技术预防、监督约束预防和干部队伍的思想教育等措施以杜绝腐败。