共查询到17条相似文献,搜索用时 93 毫秒
1.
2.
3.
二阶SQL注入攻击防御模型 总被引:1,自引:0,他引:1
随着互联网技术的快速发展,Web应用程序的使用也日趋广泛,其中基于数据库的Web应用程序己经广泛用于企业的各种业务系统中。然而由于开发人员水平和经验参差不齐,使得Web应用程序存在大量安全隐患。影响Web应用程序安全的因素有很多,其中SQL注入攻击是最常见且最易于实施的攻击,且SQL注入攻击被认为是危害最广的。因此,做好SQL注入攻击的防范工作对于保证Web应用程序的安全十分关键,如何更有效地防御SQL注入攻击成为重要的研究课题。SQL注入攻击利用结构化查询语言的语法进行攻击。传统的SQL注入攻击防御模型是从用户输入过滤和SQL语句语法比较的角度进行防御,当数据库中的恶意数据被拼接到动态SQL语句时,就会导致二阶SQL注入攻击。文章在前人研究的基础上提出了一种基于改进参数化的二阶SQL注入攻击防御模型。该模型主要包括输入过滤模块、索引替换模块、语法比较模块和参数化替换模块。实验表明,该模型对于二阶SQL注入攻击具有很好的防御能力。 相似文献
4.
为了对基于J2EE应用的SQL注入漏洞进行有效发现和防范,在总结SQL注入原理的基础上,通过SQL注入攻击过程分析了可能造成的破坏,通过黑盒测试和白盒测试有效发现J2EE应用中存在的SQL注入漏洞,使用屏蔽出错信息、分配最小权限、参数化查询、输入验证及输入转义相结合的防范方法,可有效防御SQL注入攻击威胁,具有较高的实用性和安全性。 相似文献
5.
Web项目中的SQL注入问题研究与防范方法 总被引:5,自引:1,他引:4
基于B/S模式的网络服务构架技术的应用被普遍采用,许多该类型的应用程序在设计与开发时没有充分考虑到数据合法性校验问题,因此使其在应用中存在安全隐患.在横向比较SQL注入攻击模式的基础之上,分析了SQL注入攻击的特点、原理,并对常用注入途径进行了总结.提出在主动式防范模型的基础上,使用输入验证,sQLserver防御以及使用存储过程替代参数化查询相结合的形式构建出一种有效防范SQL注入攻击的思路和方法.测试结果表明该防范模型具有较高的实用性和安全性. 相似文献
6.
7.
8.
Web服务器系统作为重要的服务承载和提供平台,面临的安全问题日益严重.已有的防御技术主要基于已知攻击方法或漏洞信息进行防御,导致难以很好地应对未知攻击的威胁,从而难以全面防护web服务器系统的安全.论文首先提出了攻击链模型,对已有技术的问题和不足进行了深入的分析.在此基础上,提出了基于“动态异构冗余”结构的拟态防御模型,并描述了拟态防御模型的防御原理和特点.基于拟态防御模型构建了拟态防御web服务器,介绍了其架构,分析了拟态原理在web服务器上的实现.安全性和性能测试结果显示拟态防御web服务器能够在较小开销的前提下,防御测试中的全部攻击类型,说明拟态防御web服务器能够有效提升系统安全性,验证了拟态防御技术的有效性和可行性.最后讨论了拟态防御技术今后的研究前景和挑战. 相似文献
9.
存储过程技术在网络考试系统SQL注入攻击防御上的应用 总被引:1,自引:1,他引:0
介绍利用SQL Server存储过程来提高网上考试系统的安全性,讨论SQL注入攻击及采用存储过程的方法进行防御,给出了网上考试系统中随机生成试卷等存储过程的实现方法.采用存储过程能有效防御SQL注入攻击,提高系统的安全性. 相似文献
10.
SQL(Structured Query Language)注入是一种常用且易于实施的攻击手段,对Web应用程序的安全构成严重危害.通过分析SQL注入攻击的原理,提出一种基于程序分析技术的SQL注入防御原型系统.该系统以静态分析为基础,对污染数据进行跟踪,并为包含污染数据的SQL语句建立合法查询自动机模型,然后以此作为被测程序的探针,进行动态测试,跟踪并记录程序的执行情况.系统的实现针对Java的Web应用程序,不需要修改服务器以及数据库平台的配置.实验表明,该系统具有较好的防范SQL注入的效果和较低的运行开销. 相似文献
11.
随着网络应用的不断丰富,以及人们对于数据安全的重要性也不断加强,数据库的信息安全也逐渐被重视。数据库的攻击最常见的一种方法是SQL注入攻击。本文通过对SQL注入攻击的原理及常用技术手段的分析,借助MySQL函数的方法,对MySQL注入攻击的防范提出了通过浏览器和服务器两端进行双重防御的解决方法。 相似文献
12.
13.
万荣泽 《数字社区&智能家居》2010,(5):1114-1117
论述了面向Intemet开放的信息系统由于用户群复杂而存在较大的安全问题,同时论述了我院教学管理信息平台的安全机制。针对基于ASP.NET和SQL Server2005构建的信息系统,通过基于角色的窗体安全认证机制确保程序访问安全、防止SQL注入攻击确保数据库的安全、通过存储过程操作数据库加强数据库的安全,这些技术的应用大大加强了系统的安全性,具有很强的推广价值。 相似文献
14.
简要介绍了在网站安全当中具有较大危害性的SQL注入攻击的定义、特点、基本原理、实施步骤,现有防御对策以及这些对策的局限性,面向对象数据库db4o的特点和优势。针对现有对策的局限性结合db4o的优点,提出了一种基于面向对象数据库db4o的全新的对策,对该对策进行了详细的分析,经过实验证明,本对策具有一定的理论和实际意义。 相似文献
15.
林世鑫 《数字社区&智能家居》2014,(4):2184-2187
SQL注入利用数据库系统的安全漏洞,以及程序中的验证漏洞,构造合适的SQL语句,并通过正常的URL访问进行代码提交,获取数据库中的相关信息,从而实现网站攻击的目的。加强用户提交数据的合法性验证,是防止SQL注入的基本方法。而改善ASP中的Request函数,使其具有对一切用户数据进行合法验证的能力,是SQL注入威胁下,Web数据安全防范方法的最佳优化。 相似文献
16.
层出不穷的SQL注入攻击使Web应用面临威胁。针对PHP应用程序中的SQL注入行为,提出了一种基于污点分析的SQL注入行为检测模型。首先,该模型使用PHP扩展技术在SQL函数执行时获取SQL语句,并记录攻击者所携带的身份信息;基于以上信息生成SQL请求日志,并将该日志作为分析源。然后,基于SQL语法和抽象语法树,实现了污点标记的SQL语法分析过程,并使用污点分析技术,提取语法树中SQL注入行为的多个特征。最后,使用随机森林分类算法实现SQL注入行为的判定。与正则匹配检测技术对比实验结果显示,通过该模型检测SQL注入行为,准确率为96.9%,准确率提高了7.2个百分点。该模型的信息获取模块能以扩展形式加载在任何PHP应用程序中,因此该模型可移植性强,在安全审计和攻击溯源中具有应用价值。 相似文献
17.
董丽英 《网络安全技术与应用》2014,(3):105-105,108
SQL注入攻击是一项针对计算机数据库安全方面的攻击行为,随着世界范围内的动态交互性网站形式成为主流,B/S模式的网络服务结构被大多数企业和个人网站所采用,从技术角度来说,网站所使用的程序模块越多,所出现的漏洞几率就越大,遭到攻击的可能性也就越大;从程序员的角度来说,编写代码需要用户输入合法的指令并且通过判断,然而由于SQL注入形式具有较强的隐蔽性,只要通过对SQL语句的巧妙改造,就可以实现非法目的。 相似文献