用于SQL注入检测的语句块摘要树模型

SQL注入具有危害性大而实施简单的特点,目前已经成为危害网络信息安全的主要攻击方法之一。本文提出一个用于SQL注入检测的语句块摘要树模型,定义抽象SQL语句、语句块和反映应用系统功能的语句块摘要树,给出该树的生成算法和基于该树的SQL注入检测算法,将检测纳入到应用系统执行的SQL语句序列上下文中,提高了检测的准确性,降低了误报率。实验表明,基于语句块摘要树模型实现SQL注入检测的中间件对系统性能影响很小,说明了模型的有效性和可行性。     

基于AOP与SQL结构分析的SQLIAs动态检测及防御

SQL注入攻击(SQLIAs)是一种危险且有效的基于Web的攻击方式。任何形式的SQLIAs最终都会改变原有SQL语句的逻辑结构,针对该攻击特征,提出一种基于AOP与SQL语句结构分析的SQLIAs动态检测及防御方法,在SQLIAs产生根源对其进行防御。借助代码静态分析工具自动获取SQL注入点位置、Signature信息以及静态SQL语句模型,使用AOP技术在程序执行过程中动态捕获需要被执行的SQL语句,将静态分析得到的信息与动态获取的信息进行比较,判断是否存在SQLIAs。通过简单的用户登录功能验证该方法的有效性,实验结果表明,该方法能有效检测和防御SQLIAs。     

一种防SQL注入的静态分析方法

提出了一种基于静态分析的SQL注入攻击的检测方法。静态分析Web应用程序的源文件,提取污染源到执行参数的构造路径,形成检测规则。动态执行时替换规则中的输入参数为用户输入值,比较得到的SQL语句和原SQL语句在语义和结构上的异同,判断是否存在SQL注入攻击。实验结果表明,该方法有效可行,增加了过滤模块后对系统的性能影响不大。     

基于Chopping的Web应用SQL注入漏洞检测方法

随着Web应用的不断普及,其安全问题越来越显突出,特别是SQL注入漏洞攻击,给用户的安全体验造成了巨大的威胁. 针对二阶SQL注入漏洞,本文提出了一种基于chopping技术的二阶SQL注入漏洞检测方法. 首先通过对待测应用程序进行chopping,获取到一阶SQL注入疑似路径;然后对一阶SQL注入疑似路径中的SQL语句进行分析,确定二阶SQL注入操作对,进而得到二阶SQL注入疑似路径;最后通过构造攻击向量并运行,确认二阶SQL注入疑似路径中漏洞是否实际存在. 实验结果表明,本方法能够有效地检测出二阶SQL注入漏洞.     

通用防SQL注入系统的设计与实现

SQL注入攻击是一种很容易实现的入侵方式,攻击者通过检测网页地址的注入入口,构造SQL语句,非法获取网站资源。文章介绍了SQL注入形成的原因、检测方法,防止SQL注入的几种常见的措施,结合实际给出了一个SQL通用防注入的程序。     

基于多SimHash指纹的近似文本检测

近似文本检测已成为当前研究热点.基于SimHash指纹的近似文本检测是主流的检测方法之一.但使用SimHash进行近似文本检测存在如下问题:指纹位数单一,丢失了一定量的信息.针对该问题,为使SimHash指纹尽可能多地代表文档的内容或特征,通过对术语集的统计特征分析,提出基于多SimHash指纹和k维超曲面的近似文本检测算法.实验表明基于多SimHash指纹的近似文本检测算法提高了检测的准确率,而且所增加的时间代价很小.     

二阶SQL注入攻击防御模型

随着互联网技术的快速发展,Web应用程序的使用也日趋广泛,其中基于数据库的Web应用程序己经广泛用于企业的各种业务系统中。然而由于开发人员水平和经验参差不齐,使得Web应用程序存在大量安全隐患。影响Web应用程序安全的因素有很多,其中SQL注入攻击是最常见且最易于实施的攻击,且SQL注入攻击被认为是危害最广的。因此,做好SQL注入攻击的防范工作对于保证Web应用程序的安全十分关键,如何更有效地防御SQL注入攻击成为重要的研究课题。SQL注入攻击利用结构化查询语言的语法进行攻击。传统的SQL注入攻击防御模型是从用户输入过滤和SQL语句语法比较的角度进行防御,当数据库中的恶意数据被拼接到动态SQL语句时,就会导致二阶SQL注入攻击。文章在前人研究的基础上提出了一种基于改进参数化的二阶SQL注入攻击防御模型。该模型主要包括输入过滤模块、索引替换模块、语法比较模块和参数化替换模块。实验表明,该模型对于二阶SQL注入攻击具有很好的防御能力。     

SQL注入攻击及其防范技术研究

SQL注入是Web系统中经常存在的一种漏洞,攻击者利用这种漏洞将恶意的SQL语句注入到后台数据库,并直接执行数据库操作,从而对系统安全造成很大隐患。本文分析了SQL注入攻击的原理、攻击的特点以及实现的过程,并从多个角度提出了相应的攻击检测和防范方法。     

基于模型的Web应用二阶SQL注入测试用例集生成

SQL注入漏洞一直以来都是威胁Web应用安全的主要问题之一, 其中二阶SQL注入漏洞相较于一阶SQL注入更加隐蔽且威胁更大, 对其检测通常依赖于测试人员的先验知识与经验. 目前, 在缺乏源码信息的黑盒测试场景下, 还没有针对该漏洞的有效检测手段. 利用基于模型的测试用例生成思想, 提出了一种基于客户端行为模型的测试用例集生成方法(CBMTG), 用于生成检测Web应用二阶SQL注入漏洞的测试用例集. 首先通过初始测试用例集的执行建立迁移与SQL语句的映射关系; 然后通过SQL语句的字段分析建立迁移之间的拓扑关系; 最后通过拓扑关系来指导最终的测试用例集生成. 实验结果表明, 本文方法优于当前主流的二阶SQL注入漏洞检测方法.     

防SQL注入攻击的数据库驱动设计与实现

为了预防网络应用程序中的SQL注入攻击,提出了防SQL注入攻击的数据库驱动DDriver的设计方法.通过在应用程序和它下面的关系数据库管理系统之间放置一个安全的数据库驱动来检测SQL注入攻击.该驱动器根据预设的查询语句ID来判断SQL语句是否合法,不依赖应用程序和关系数据库,适用于任何系统.通过实现数据库驱动DDriver,并在两个关系数据库管理系统中测试其性能以及处理时间上的额外开销,验证了DDriver在防SQL注入攻击中的准确性及有效性.     

SDriver: Location-specific signatures prevent SQL injection attacks

SQL injection attacks involve the construction of application input data that will result in the execution of malicious SQL statements. Many web applications are prone to SQL injection attacks. This paper proposes a novel methodology of preventing this kind of attacks by placing a secure database driver between the application and its underlying relational database management system. To detect an attack, the driver uses stripped-down SQL queries and stack traces to create SQL statement signatures that are then used to distinguish between injected and legitimate queries. The driver depends neither on the application nor on the RDBMS and can be easily retrofitted to any system. We have developed a tool, SDriver, that implements our technique and used it on several web applications with positive results.     

面向数据库模式变更的代码演化推荐方法

许多软件依赖数据库来存储信息。数据库模式的变更可能导致程序代码中与数据库相关的SQL语句代码不能正常执行,因而找出一种能够直接定位到需要修改的SQL语句代码并推荐出这些代码可能的修改方案的方法是十分必要的。提出的面向数据库模式变更的代码演化推荐方法首先自动检测出软件系统数据库模式发生的变更,随后采用程序切片技术得出与数据库操作相关的程序切片;确定受到数据库模式变更影响的程序切片后,利用源程序转换流程图算法将程序切片转化为程序流程图;根据程序流程图的分支条件得出SQL语句所有可能的特定执行路径;最后采用图映射的方法对每条路径的SQL语句进行变更语句推荐,推荐出新数据库模式下可执行的SQL语句。为了验证该方法的可行性,实现了一个用于自动检测数据库模式变更并能推荐出SQL语句演化后代码的插件工具。     

程序分析技术在SQL注入防御中的应用研究

SQL(Structured Query Language)注入是一种常用且易于实施的攻击手段,对Web应用程序的安全构成严重危害.通过分析SQL注入攻击的原理,提出一种基于程序分析技术的SQL注入防御原型系统.该系统以静态分析为基础,对污染数据进行跟踪,并为包含污染数据的SQL语句建立合法查询自动机模型,然后以此作为被测程序的探针,进行动态测试,跟踪并记录程序的执行情况.系统的实现针对Java的Web应用程序,不需要修改服务器以及数据库平台的配置.实验表明,该系统具有较好的防范SQL注入的效果和较低的运行开销.     

基于Hash锁的RFID SQL注入攻击防御方法

传统的SQL注入攻击技术被攻击者用于攻击RFID系统,使后台数据库中的用户数据处于不安全状态。文章分析了使用SQL注入攻击RFID后端数据库的实施过程,针对这一安全问题提出了基于Hash锁的防SQL注入方法,并进行了模拟实验,该方法可以有效地防御RFIDSQL注入攻击。     

面向PHP应用程序的SQL注入行为检测

层出不穷的SQL注入攻击使Web应用面临威胁。针对PHP应用程序中的SQL注入行为，提出了一种基于污点分析的SQL注入行为检测模型。首先，该模型使用PHP扩展技术在SQL函数执行时获取SQL语句，并记录攻击者所携带的身份信息；基于以上信息生成SQL请求日志，并将该日志作为分析源。然后，基于SQL语法和抽象语法树，实现了污点标记的SQL语法分析过程，并使用污点分析技术，提取语法树中SQL注入行为的多个特征。最后，使用随机森林分类算法实现SQL注入行为的判定。与正则匹配检测技术对比实验结果显示，通过该模型检测SQL注入行为，准确率为96.9%，准确率提高了7.2个百分点。该模型的信息获取模块能以扩展形式加载在任何PHP应用程序中，因此该模型可移植性强，在安全审计和攻击溯源中具有应用价值。     

SQL注入攻击与防护措施研究

SQL注入是Web应用中常见的一种针对数据库层的攻击方法。该文分析了SQL注入的原理和攻击方法,总结了实践中常用的针对SQL注入的防范措施。此防护措施经适当修改即可用于多种平台类型的Web应用中。     

基于B/S系统的SQL注入防御技术研究

随着互联网的发展,基于Web服务器语言和后台数据库模式的网站存在安全性问题,其中SQL注入数据库是最具威胁B/S系统漏洞的攻击。该文分析了SQL注入原理及特点,研究了预防SQL注入的攻击方法,针对B/S系统的特点,提出了字段检查、注入测试、服务器加固、绑定变量和禁止字符串拼接等SQL注入的防治手段,对预防SQL注入提供了有效的方法,增加了B/S系统的安全性。     

Access数据库SQL注入攻防技术研究

Access数据库＋ASP＋IIS网站架构由于成本低廉和操作简单等优点被广泛采用,这种架构如果程序存在漏洞或安全措施设置不严格,就极易被入侵。最常见的入侵方法就是SQL注入,通过SQL注入可以获取Webshell,进而控制整个服务器。文章对Access数据库SQL注入技术进行研究,分析了可能获取Webshell的途径方法,并提出了相应的防范措施。     

SQL注入方法剖析及防范策略

SQL注入是Web系统中经常存在的一种漏洞,攻击者利用这种漏洞可以通过SQL语句直接访问数据库,从而对系统的安全造成了很大的隐患。该文通过大量的实例介绍了SQL注入攻击方法及防范这种攻击的措施。