论文部分内容阅读
摘 要:随着科学技术水平的提高,计算机网络技术的应用日渐广泛与普遍,基于Web技术与数据库框架的应用体系适应了企业业务系统发展的需求,但在实际应用过程中,系统的安全风险日渐增多,为了提高系统的安全性与可靠性,本文介绍了基于渗透测试的SQL注入漏洞检测与防范。
关键词:渗透测试;SQL注入;漏洞;检测;防范
引言:近几年,网络技术快速发展,Web网站作为特殊的计算机系统,其应用日渐广泛。但据统计可知,Web应用系统的安全隐患日渐严重,造成此情况的原因为程序员技术安全意识淡薄,未能关注代谢编写的安全性,进而增加了Web应用程序漏洞。在此背景下,互联网犯罪与黑客对用户的重要数据进行了窃取,进而给广大用户造成了严重的损失。在互联网时代,Web应用系统的安全问题急需解决,其中最为常用的Web应用程序攻击手段为SQL注入,本文对其漏洞检测与防范进行了详细的介绍。
1 Web渗透测试与SQL注入的概况
Web渗透测试技术术语防范技术,其服务对象为Web应用,它通过模拟黑客攻击Web应用,实现了对目标系统的探测。SQL注入作为最常见的Web应用攻击手段,其具有便捷性与高效性。为了保证Web应用系统的安全性,SQL注入的漏洞检测与防范得到了广泛的关注,它直接影响着整个系统的运行,直接关系着网络的安全。
根据国外文献可知,SQL注入攻击的检测防范方法主要有编码机制、Web架构、静态与动态分析等;根据国内文献可知,SQL注入攻击的检测防范主要有SQLIA模型、用户提交数据的合法性检测、不提供相关错误信息等。通过Web应用相关人员的研究与探索,提出了一系列有效的检测防范措施,如:增加Web服务器的安全性、存储过程的应用及数据加密等。但当前,我国关于SQL注入漏洞渗透检测与安全防范的研究仍缺少全面性与系统性,未能有效检测与预防未知的SQLIA。面对日益严峻的SQLIA威胁,为了提高Web应用系统的安全性与可靠性,本文详细介绍了SQL注入漏洞渗透检测与安全防范。
2 SQL注入漏洞渗透检测与防范
SQL属于数据库文本语言,它作为第四代编程语言,为SQL注入攻击提供了可能,根据SQL注入原理,其方式分为三种,分别为常规注入、字典猜解注入与盲注入,其中对Web应用系统实现有效探测的方法为盲注入。为了充分发挥SQL注入攻击的作用,保证Web应用系统的安全,下文分析了其检测与防范情况,具体内容如下:
2.1 检测
在研究SQL注入攻击过程中,为了充分显现SQL注入漏洞的危害,可利用实验的方法,对SQL注入漏洞进行模拟。在实验过程中,利用字符串拼接的方式进行数据库后台查询语言编程,此时为攻击者提供了机会,在SQL语句注入后,程序执行过程与结果均会出现改变,进而实现了权限的获取。
SQL注入攻击检测的类型主要分为两种,第一种为攻击前检测,即:漏洞检测,另一种为运行时检测,即:动态检测。第二种检测主要是利用动态的、实时的检测技术实现的,本文主要分析了漏洞检测的相关内容。
传统漏洞检测的方法构成为网络爬虫、敏感信息测试与初步测试,此方法对Web应用系统的检测效果相对较差,其存在的不足主要表现在检测过程缺少规范性、测试用例过于简单、未能及时分析漏洞的成因。为了适应Web应用系统的检测需求,本文提出了基于等级划分的漏洞检测方法,具体分为三级,分别为初级、中级与高级,此方法的优势为较强的针对性,同时对漏洞的成因进行了及时的分析,但其仍存在不足,主要是检测具有顺序性,需要从低级漏洞开始检测,因此,其盲目性相对较强。目前,SQL注入漏洞检测较为常见的工具有Paros、Sqlmap、啊D、Pangolin及NBSI等。
2.2 防范
SQL注入漏洞防范主要措施为编码防范机制、漏洞识别机制与防御机制三种。
第一种具有较好的实践性,我国学者对其展开了积极的研究,由于SQL注入攻击的成因为缺少足够的验证机制,因此,为编码防范机制奠定了坚实的理论基础。当前,我国学者研究了内容主要体现在客户端与服务器两方面,国外学者研究的内容主要体现在检测输入类型、编码输入内容、匹配正模式与输入源识别等。当前,编码防范机制的主要措施有使用参数化查询、使用存储过程、加密敏感数据等,此类措施均存在一定的风险,因此,基于SQL注入改进了防范措施,即:综合性的防御框架,其构成主要有加密敏感数据、存储过程、参数化语句、检查存储过程的执行权限,其优点十分显著,有机结合了现有的防范措施,弥补了单一防范的不足,预防了Web应用系统风险。
第二种也均存在不足,主要表现在增加了程序员的负担,因此,基于SQL注入漏洞识别技术对其给予了改进,主要改进对策为对现有的Selenium测试工具进行了拓展,改进后的技术有效识别了SQL注入攻击,推动了SQL注入漏洞检测的自动化发展。
第三种的常见防御机制方法预想查询结构、Dyanamic Tainting方法与动态候选评估方法等。
总结:综上所述,随着Web应用的日渐广泛,其应用安全性得到了广泛的关注,为了保证信息系统的安全性,提高网络运动的稳定性,本文主要介绍了SQL注入漏洞检测与防范措施,旨在大幅度降低Web应用的风险,进而为广大用户提供可靠的数据库与Web服务器。
参考文献
[1]练坤梅,许静,田伟,等.SQL注入漏洞多等级检测方法研究[J].计算机科学与探索,2011,05:474-480.
[2]马小婷,胡國平,李舟军.SQL注入漏洞检测与防御技术研究[J].计算机安全,2010,11:18-24.
[3]罗启汉,张玉清,刘奇旭.针对RESTfulAPI的SQL注入漏洞检测工具的设计与实现[J].中国科学院研究生院学报,2013,03:417-424.
关键词:渗透测试;SQL注入;漏洞;检测;防范
引言:近几年,网络技术快速发展,Web网站作为特殊的计算机系统,其应用日渐广泛。但据统计可知,Web应用系统的安全隐患日渐严重,造成此情况的原因为程序员技术安全意识淡薄,未能关注代谢编写的安全性,进而增加了Web应用程序漏洞。在此背景下,互联网犯罪与黑客对用户的重要数据进行了窃取,进而给广大用户造成了严重的损失。在互联网时代,Web应用系统的安全问题急需解决,其中最为常用的Web应用程序攻击手段为SQL注入,本文对其漏洞检测与防范进行了详细的介绍。
1 Web渗透测试与SQL注入的概况
Web渗透测试技术术语防范技术,其服务对象为Web应用,它通过模拟黑客攻击Web应用,实现了对目标系统的探测。SQL注入作为最常见的Web应用攻击手段,其具有便捷性与高效性。为了保证Web应用系统的安全性,SQL注入的漏洞检测与防范得到了广泛的关注,它直接影响着整个系统的运行,直接关系着网络的安全。
根据国外文献可知,SQL注入攻击的检测防范方法主要有编码机制、Web架构、静态与动态分析等;根据国内文献可知,SQL注入攻击的检测防范主要有SQLIA模型、用户提交数据的合法性检测、不提供相关错误信息等。通过Web应用相关人员的研究与探索,提出了一系列有效的检测防范措施,如:增加Web服务器的安全性、存储过程的应用及数据加密等。但当前,我国关于SQL注入漏洞渗透检测与安全防范的研究仍缺少全面性与系统性,未能有效检测与预防未知的SQLIA。面对日益严峻的SQLIA威胁,为了提高Web应用系统的安全性与可靠性,本文详细介绍了SQL注入漏洞渗透检测与安全防范。
2 SQL注入漏洞渗透检测与防范
SQL属于数据库文本语言,它作为第四代编程语言,为SQL注入攻击提供了可能,根据SQL注入原理,其方式分为三种,分别为常规注入、字典猜解注入与盲注入,其中对Web应用系统实现有效探测的方法为盲注入。为了充分发挥SQL注入攻击的作用,保证Web应用系统的安全,下文分析了其检测与防范情况,具体内容如下:
2.1 检测
在研究SQL注入攻击过程中,为了充分显现SQL注入漏洞的危害,可利用实验的方法,对SQL注入漏洞进行模拟。在实验过程中,利用字符串拼接的方式进行数据库后台查询语言编程,此时为攻击者提供了机会,在SQL语句注入后,程序执行过程与结果均会出现改变,进而实现了权限的获取。
SQL注入攻击检测的类型主要分为两种,第一种为攻击前检测,即:漏洞检测,另一种为运行时检测,即:动态检测。第二种检测主要是利用动态的、实时的检测技术实现的,本文主要分析了漏洞检测的相关内容。
传统漏洞检测的方法构成为网络爬虫、敏感信息测试与初步测试,此方法对Web应用系统的检测效果相对较差,其存在的不足主要表现在检测过程缺少规范性、测试用例过于简单、未能及时分析漏洞的成因。为了适应Web应用系统的检测需求,本文提出了基于等级划分的漏洞检测方法,具体分为三级,分别为初级、中级与高级,此方法的优势为较强的针对性,同时对漏洞的成因进行了及时的分析,但其仍存在不足,主要是检测具有顺序性,需要从低级漏洞开始检测,因此,其盲目性相对较强。目前,SQL注入漏洞检测较为常见的工具有Paros、Sqlmap、啊D、Pangolin及NBSI等。
2.2 防范
SQL注入漏洞防范主要措施为编码防范机制、漏洞识别机制与防御机制三种。
第一种具有较好的实践性,我国学者对其展开了积极的研究,由于SQL注入攻击的成因为缺少足够的验证机制,因此,为编码防范机制奠定了坚实的理论基础。当前,我国学者研究了内容主要体现在客户端与服务器两方面,国外学者研究的内容主要体现在检测输入类型、编码输入内容、匹配正模式与输入源识别等。当前,编码防范机制的主要措施有使用参数化查询、使用存储过程、加密敏感数据等,此类措施均存在一定的风险,因此,基于SQL注入改进了防范措施,即:综合性的防御框架,其构成主要有加密敏感数据、存储过程、参数化语句、检查存储过程的执行权限,其优点十分显著,有机结合了现有的防范措施,弥补了单一防范的不足,预防了Web应用系统风险。
第二种也均存在不足,主要表现在增加了程序员的负担,因此,基于SQL注入漏洞识别技术对其给予了改进,主要改进对策为对现有的Selenium测试工具进行了拓展,改进后的技术有效识别了SQL注入攻击,推动了SQL注入漏洞检测的自动化发展。
第三种的常见防御机制方法预想查询结构、Dyanamic Tainting方法与动态候选评估方法等。
总结:综上所述,随着Web应用的日渐广泛,其应用安全性得到了广泛的关注,为了保证信息系统的安全性,提高网络运动的稳定性,本文主要介绍了SQL注入漏洞检测与防范措施,旨在大幅度降低Web应用的风险,进而为广大用户提供可靠的数据库与Web服务器。
参考文献
[1]练坤梅,许静,田伟,等.SQL注入漏洞多等级检测方法研究[J].计算机科学与探索,2011,05:474-480.
[2]马小婷,胡國平,李舟军.SQL注入漏洞检测与防御技术研究[J].计算机安全,2010,11:18-24.
[3]罗启汉,张玉清,刘奇旭.针对RESTfulAPI的SQL注入漏洞检测工具的设计与实现[J].中国科学院研究生院学报,2013,03:417-424.