SQL注入漏洞检测研究

被引量 : 0次 | 上传用户:yizhutingyu
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着网络技术的飞速发展以及网络平台的易开发、易使用和平台开放等特性,越来越多的公司企业、行政机关以及个人都在互联网上建立了自己的站点,但也使得网络平台的安全形势日益严峻。Web应用程序存在的许多编码漏洞,将导致Web服务器易于受到网络恶意攻击,其中SQL注入攻击是流传较为广泛而且危害性较大的攻击方法。为保证Web应用程序的安全,通过Web漏洞扫描及时发现、挖掘出SQL注入漏洞是非常重要的。一般情况下,在对Web漏洞扫描时,需要抓取网站所有网页并对覆盖较多的SQL注入漏洞,这将导致过高的扫描时间开销。因此,在SQL注入漏洞扫描过程中,适当缩减扫描规模又尽可能充分覆盖系统中可能存在的SQL注入漏洞成为了当前亟需解决的问题。本文首先介绍国内外在SQL注入漏洞检测上的一些进展,通过详细研究了当前漏洞检测常用方法,在前面研究的基础上设计和实现了一个检测效率高同时漏洞检出率也较高的Web漏洞安全检测模型。这个模型的设计主要分为两部分:基于模板匹配的网络爬虫和基于知识库自动扩展的SQL注入漏洞挖掘模块构成。本文设计的模型实现了网站漏洞扫描时爬虫抓取对象的适当精简,从而大大提高了漏洞扫描的效率。同时,为了提高SQL注入漏洞的检出率,本文设计并实现了用于检测的模拟攻击集自动扩展。扩展后的模拟攻击集涵盖多个方面的黑客攻击途径,在系统遭受攻击之前为安全工作者和系统开发者提供系统编码和安全机制的漏洞信息。本文提出了基于模板匹配的网络爬虫解决方案用于实现扫描对象的精简从而对目标服务器实施高效准确的漏洞检测。它首先对同一模板下的网页进行抽样抓,再对抓取的网页进行结构相似度计算,根据相似网页的在抽样中所在的比例决定是否完全抓取该模板下的网页。本文通过模板匹配方法过滤掉那些同一模板结构重复的网页实现了漏洞扫描对象的精简,并付诸于具体实验。实验证明,基于模板匹配的网络爬虫设计方案针对不同类型的网站时保持了一定规模之内的抓取数量(实验中分别爬行三种类型网站的抓取数量为88-129),同时由于设计了前缀匹配爬行策略,本文设计的爬虫对网页深度设置不敏感实现了检测结果的高鲁棒性。另一方面,由于SQL注入漏洞的黑盒检测依赖一个预先定义好的模拟攻击集,这个模拟攻击集中包含了所有可能存在的黑客攻击手段,如何完善这个模拟攻击集从而实现对可能存在的黑客攻击的有效覆盖成了本文另一个研究重点。本文提出的基于知识库自动扩展的SQL注入漏洞挖掘,通过研究当前的SQL注入攻击的各种变种形式,总结出了SQL注入攻击语句的各种不同的变化模式,将这些变化的模式应用到现有的模拟攻击集上从而实现了检测手段的扩展。新的模拟攻击集扩展方案不仅可以扫描服务器的编码漏洞还可以检测出当前部署的安全机制上的不足,从而有效预防了SQL注入攻击对目标站点的侵害。实验证明,扩展后漏洞检出率都在80%以上,虽然扩展后的时间开销确实要高于扩展之前,但两者差距并不明显实验中的三组实验结果的差距基本控制在5s之内。本文的研究依托浙江省重大项目“基于云计算感知的Web漏洞防护系统”课题,研究成果可为Web漏洞,尤其是SQL注入漏洞的检测供技术支撑。本文也为网络爬虫技术、漏洞扫描覆盖以及漏洞知识库自动扩展提供了一些全新角度的方法和思路,对进一步研究Web漏洞检测和防护以及自动识别网络黑客的SQL注入手段提供了一定的参考价值和借鉴作用。
其他文献
农村教师专业发展相对滞后的一个重要原因,是现代信息技术的滞后。为了改变这一状况,促进农村教师专业发展,国家和地方政府出台了多项支持政策。教育部2004年颁布《中小学教
近些年来许多教师都在研究着教师的教法与学法,却没有将教师的教与学统一起来,从而出现了很多学思不结合与知性不统一的教育弊端的出现。因此立足于孔子的“学思结合、知行统
全球经济一体化为我国中小企业的发展提供了良好的环境,使其获得迅速发展壮大的良机,从而日益成为我国国民经济发展的重要组成部分。在我国经济发展过程中,中小企业对于国民
对不同新教材中离子方程式的书写规则的教学进行了比较研究。
通过剖析我国名城保护管理工作现状存在的问题及其内在的原因,提出以下建议:改革现行管理体制,建立科学管理工作机制,规范与完善管理立法,加强城市保护队伍建设,尝试建立保护
目的回顾性分析近20年烧伤总面积≥50%成人烧伤患者临床资料,探讨大面积烧伤救治的经验教训。方法选择1992~2011年收治的烧伤面积≥50%TBSA的94例成人烧伤患者临床资料。根据入
目的:观察深度大面积烧伤患者早期实施康复护理的效果。方法:选择大面积(30%~67%)深度烧伤患者148例,将其随机分为观察组和对照组,观察组入院后在常规治疗的同时尽早进行康复护理
本论文以石家庄某大跨度预应力混凝土连续箱梁桥为工程背景,采用通用空间有限元分析软件MIDAS/Civil对其进行数值分析,建立该桥三维实体模型,基于有限元分析方法,以梁桥在运
目的了解深圳地铁生物性病原污染情况,为地铁营运卫生管理提供基础数据. 方法依照相关方法,采集深圳市地铁环境中空气和冷却水样本,进行相关的病原学分析,并进行相应的评价.
<正>根据人民银行科技司关于开展金融企业标准化工作情况调查通知的文件精神,中国人民银行海口中心支行(以下简称"海口中支")高度重视,安排专人负责金融企业标准化情况的调查