基于Mycat的拟态数据库中间件研究

数据库系统的安全不仅依赖于数据库本身的安全,还受网络环境和操作系统的安全性影响,拟态防御是邬江兴院士首次提出的基于动态异构冗余体系架构,协同实现数据库所依赖环境,使数据库安全由被动防御变为主动防御.本文通过Mycat作为数据库中间件,通过对数据库的读写分离,集群的高可用,分布式事务处理,对指纹化SQL识别,以减轻单一数据库的数据存取和处理压力.Mycat将数据库模块变为异构动态冗余模式,实现数据库拟态化,使数据高效,快速,安全的存取和切分.     

基于异构冗余的拟态数据库模型分析

信息系统中,数据库是关键和核心部分,是基本组件之一,其存有大量用于研究分析的数据,但其易受侵袭,经常被SQL注入和攻击。以往数据库主要的防御措施是先明确攻击的主要特征,再采取切实有效的防御方法,该种模式具有明显的缺陷和问题,如单一性及透明、静态等。拟态数据库模型具有内生安全性,因此,笔者着重对这种拟态数据库模型的实际可用性及使用过程中的安全性进行分析,以供相关研究借鉴和参考。     

二阶SQL注入攻击防御模型

随着互联网技术的快速发展,Web应用程序的使用也日趋广泛,其中基于数据库的Web应用程序己经广泛用于企业的各种业务系统中。然而由于开发人员水平和经验参差不齐,使得Web应用程序存在大量安全隐患。影响Web应用程序安全的因素有很多,其中SQL注入攻击是最常见且最易于实施的攻击,且SQL注入攻击被认为是危害最广的。因此,做好SQL注入攻击的防范工作对于保证Web应用程序的安全十分关键,如何更有效地防御SQL注入攻击成为重要的研究课题。SQL注入攻击利用结构化查询语言的语法进行攻击。传统的SQL注入攻击防御模型是从用户输入过滤和SQL语句语法比较的角度进行防御,当数据库中的恶意数据被拼接到动态SQL语句时,就会导致二阶SQL注入攻击。文章在前人研究的基础上提出了一种基于改进参数化的二阶SQL注入攻击防御模型。该模型主要包括输入过滤模块、索引替换模块、语法比较模块和参数化替换模块。实验表明,该模型对于二阶SQL注入攻击具有很好的防御能力。     

基于J2EE应用的SQL注入分析与防范

为了对基于J2EE应用的SQL注入漏洞进行有效发现和防范,在总结SQL注入原理的基础上,通过SQL注入攻击过程分析了可能造成的破坏,通过黑盒测试和白盒测试有效发现J2EE应用中存在的SQL注入漏洞,使用屏蔽出错信息、分配最小权限、参数化查询、输入验证及输入转义相结合的防范方法,可有效防御SQL注入攻击威胁,具有较高的实用性和安全性。     

Web项目中的SQL注入问题研究与防范方法

基于B/S模式的网络服务构架技术的应用被普遍采用,许多该类型的应用程序在设计与开发时没有充分考虑到数据合法性校验问题,因此使其在应用中存在安全隐患.在横向比较SQL注入攻击模式的基础之上,分析了SQL注入攻击的特点、原理,并对常用注入途径进行了总结.提出在主动式防范模型的基础上,使用输入验证,sQLserver防御以及使用存储过程替代参数化查询相结合的形式构建出一种有效防范SQL注入攻击的思路和方法.测试结果表明该防范模型具有较高的实用性和安全性.     

基于SQL注入的渗透测试研究

为了提高数据库系统的安全性,防范利用各种数据库漏洞尤其是SQL注入漏洞对数据库发起的攻击,本文分析了基于SQL注入渗透测试的相关技术和渗透方法,并在此基础上提出一个渗透测试的宏观模型,并给出各模块主要功能和渗透流程。     

基于数据库二进制日志的竞赛式仲裁优化方案

在拟态防御理论中,仲裁模型在一定程度上决定了拟态系统的整体安全性和执行效率,而仲裁策略作为仲裁模型中的关键环节,会对裁决结果的正确性产生直接影响。针对竞赛式仲裁模型中由差模逃逸造成的裁决结果异常问题,提出一种竞赛式仲裁优化方案,采用异构数据库执行体的二进制日志匹配结果对仲裁结果进行校验,保证裁决结果的正确性。实验结果表明,与竞赛式仲裁方案相比,优化方案能够提高仲裁结果正确率,减少SQL注入的差模逃逸事件,保证拟态系统在执行周期内的安全性和可靠性。     

拟态防御Web服务器设计与实现

Web服务器系统作为重要的服务承载和提供平台,面临的安全问题日益严重.已有的防御技术主要基于已知攻击方法或漏洞信息进行防御,导致难以很好地应对未知攻击的威胁,从而难以全面防护web服务器系统的安全.论文首先提出了攻击链模型,对已有技术的问题和不足进行了深入的分析.在此基础上,提出了基于“动态异构冗余”结构的拟态防御模型,并描述了拟态防御模型的防御原理和特点.基于拟态防御模型构建了拟态防御web服务器,介绍了其架构,分析了拟态原理在web服务器上的实现.安全性和性能测试结果显示拟态防御web服务器能够在较小开销的前提下,防御测试中的全部攻击类型,说明拟态防御web服务器能够有效提升系统安全性,验证了拟态防御技术的有效性和可行性.最后讨论了拟态防御技术今后的研究前景和挑战.     

存储过程技术在网络考试系统SQL注入攻击防御上的应用

介绍利用SQL Server存储过程来提高网上考试系统的安全性,讨论SQL注入攻击及采用存储过程的方法进行防御,给出了网上考试系统中随机生成试卷等存储过程的实现方法.采用存储过程能有效防御SQL注入攻击,提高系统的安全性.     

程序分析技术在SQL注入防御中的应用研究

SQL(Structured Query Language)注入是一种常用且易于实施的攻击手段,对Web应用程序的安全构成严重危害.通过分析SQL注入攻击的原理,提出一种基于程序分析技术的SQL注入防御原型系统.该系统以静态分析为基础,对污染数据进行跟踪,并为包含污染数据的SQL语句建立合法查询自动机模型,然后以此作为被测程序的探针,进行动态测试,跟踪并记录程序的执行情况.系统的实现针对Java的Web应用程序,不需要修改服务器以及数据库平台的配置.实验表明,该系统具有较好的防范SQL注入的效果和较低的运行开销.     

MySQL注入攻击及防范方法

随着网络应用的不断丰富,以及人们对于数据安全的重要性也不断加强,数据库的信息安全也逐渐被重视。数据库的攻击最常见的一种方法是SQL注入攻击。本文通过对SQL注入攻击的原理及常用技术手段的分析,借助MySQL函数的方法,对MySQL注入攻击的防范提出了通过浏览器和服务器两端进行双重防御的解决方法。     

管理信息系统的安全性研究

管理信息系统的安全性历来是MIS开发者和使用者研究和注意的重要问题。从软件体系结构、数据库系统的安全性和网络安全性等方面详细介绍了管理信息系统可能存在的安全问题以及可以采取的各种安全措施，并介绍了SQL注入式攻击及相应的防范措施。     

基于ASP.NET的管理信息系统安全性研究与实践

论述了面向Intemet开放的信息系统由于用户群复杂而存在较大的安全问题,同时论述了我院教学管理信息平台的安全机制。针对基于ASP．NET和SQL Server2005构建的信息系统,通过基于角色的窗体安全认证机制确保程序访问安全、防止SQL注入攻击确保数据库的安全、通过存储过程操作数据库加强数据库的安全,这些技术的应用大大加强了系统的安全性,具有很强的推广价值。     

基于面向对象数据库的网站安全研究

简要介绍了在网站安全当中具有较大危害性的SQL注入攻击的定义、特点、基本原理、实施步骤,现有防御对策以及这些对策的局限性,面向对象数据库db4o的特点和优势。针对现有对策的局限性结合db4o的优点,提出了一种基于面向对象数据库db4o的全新的对策,对该对策进行了详细的分析,经过实验证明,本对策具有一定的理论和实际意义。     

基于SQL注入的Web数据安全防范与优化

SQL注入利用数据库系统的安全漏洞,以及程序中的验证漏洞,构造合适的SQL语句,并通过正常的URL访问进行代码提交,获取数据库中的相关信息,从而实现网站攻击的目的。加强用户提交数据的合法性验证,是防止SQL注入的基本方法。而改善ASP中的Request函数,使其具有对一切用户数据进行合法验证的能力,是SQL注入威胁下,Web数据安全防范方法的最佳优化。     

面向PHP应用程序的SQL注入行为检测

层出不穷的SQL注入攻击使Web应用面临威胁。针对PHP应用程序中的SQL注入行为，提出了一种基于污点分析的SQL注入行为检测模型。首先，该模型使用PHP扩展技术在SQL函数执行时获取SQL语句，并记录攻击者所携带的身份信息；基于以上信息生成SQL请求日志，并将该日志作为分析源。然后，基于SQL语法和抽象语法树，实现了污点标记的SQL语法分析过程，并使用污点分析技术，提取语法树中SQL注入行为的多个特征。最后，使用随机森林分类算法实现SQL注入行为的判定。与正则匹配检测技术对比实验结果显示，通过该模型检测SQL注入行为，准确率为96.9%，准确率提高了7.2个百分点。该模型的信息获取模块能以扩展形式加载在任何PHP应用程序中，因此该模型可移植性强，在安全审计和攻击溯源中具有应用价值。     

SQL注入攻击问题与策略分析

SQL注入攻击是一项针对计算机数据库安全方面的攻击行为，随着世界范围内的动态交互性网站形式成为主流，B／S模式的网络服务结构被大多数企业和个人网站所采用，从技术角度来说，网站所使用的程序模块越多，所出现的漏洞几率就越大，遭到攻击的可能性也就越大；从程序员的角度来说，编写代码需要用户输入合法的指令并且通过判断，然而由于SQL注入形式具有较强的隐蔽性，只要通过对SQL语句的巧妙改造，就可以实现非法目的。