基于AOP与SQL结构分析的SQLIAs动态检测及防御

SQL注入攻击(SQLIAs)是一种危险且有效的基于Web的攻击方式。任何形式的SQLIAs最终都会改变原有SQL语句的逻辑结构,针对该攻击特征,提出一种基于AOP与SQL语句结构分析的SQLIAs动态检测及防御方法,在SQLIAs产生根源对其进行防御。借助代码静态分析工具自动获取SQL注入点位置、Signature信息以及静态SQL语句模型,使用AOP技术在程序执行过程中动态捕获需要被执行的SQL语句,将静态分析得到的信息与动态获取的信息进行比较,判断是否存在SQLIAs。通过简单的用户登录功能验证该方法的有效性,实验结果表明,该方法能有效检测和防御SQLIAs。     

ASP.NET应用中SQL注入攻击的分析与防范

针对ASP.NET应用程序中存在SQL注入攻击问题,通过分析注入攻击的途径和方法,从输入过滤、语句参数化和SQL关键词转义三方面进行防范,实现三层防范模型。该防范模型可以自定义关键词转义规则,能够有效阻断SQL注入攻击途径,提高Web应用程序的安全性。实验结果表明该防范模型的可行性和有效性。      

SQL注入攻击及其防范技术研究

SQL注入是Web系统中经常存在的一种漏洞,攻击者利用这种漏洞将恶意的SQL语句注入到后台数据库,并直接执行数据库操作,从而对系统安全造成很大隐患。本文分析了SQL注入攻击的原理、攻击的特点以及实现的过程,并从多个角度提出了相应的攻击检测和防范方法。     

用于SQL注入检测的语句块摘要树模型

SQL注入具有危害性大而实施简单的特点,目前已经成为危害网络信息安全的主要攻击方法之一。本文提出一个用于SQL注入检测的语句块摘要树模型,定义抽象SQL语句、语句块和反映应用系统功能的语句块摘要树,给出该树的生成算法和基于该树的SQL注入检测算法,将检测纳入到应用系统执行的SQL语句序列上下文中,提高了检测的准确性,降低了误报率。实验表明,基于语句块摘要树模型实现SQL注入检测的中间件对系统性能影响很小,说明了模型的有效性和可行性。     

二阶SQL注入攻击防御模型

随着互联网技术的快速发展,Web应用程序的使用也日趋广泛,其中基于数据库的Web应用程序己经广泛用于企业的各种业务系统中。然而由于开发人员水平和经验参差不齐,使得Web应用程序存在大量安全隐患。影响Web应用程序安全的因素有很多,其中SQL注入攻击是最常见且最易于实施的攻击,且SQL注入攻击被认为是危害最广的。因此,做好SQL注入攻击的防范工作对于保证Web应用程序的安全十分关键,如何更有效地防御SQL注入攻击成为重要的研究课题。SQL注入攻击利用结构化查询语言的语法进行攻击。传统的SQL注入攻击防御模型是从用户输入过滤和SQL语句语法比较的角度进行防御,当数据库中的恶意数据被拼接到动态SQL语句时,就会导致二阶SQL注入攻击。文章在前人研究的基础上提出了一种基于改进参数化的二阶SQL注入攻击防御模型。该模型主要包括输入过滤模块、索引替换模块、语法比较模块和参数化替换模块。实验表明,该模型对于二阶SQL注入攻击具有很好的防御能力。     

基于代理模式的SQL注入过滤方法

针对Web安全中的SQL注入问题,提出了一种新的SQL注入过滤方法——LFS （length-frequency-SQL syntax tree）过滤方法. LFS方法包括学习和过滤两个阶段,其中,学习阶段在安全的环境下,通过爬虫和数据库代理构建URL和SQL语句映射表;过滤阶段通过对URL长度、访问频率及SQL语法树这三个方面进行检测,以此实现对用户输入进行过滤,防止SQL注入攻击. 仿真实验及结果分析表明LFS方法相较于传统的关键字过滤和正则表达式过滤能够更有效的防止SQL注入攻击.     

基于指令集随机化的SQL注入防御技术研究

WEB应用程序广泛受到SQL注入攻击的威胁,SQL攻击易于实施且危害严重。分析了现有的各种防范技术,在此基础上提出了一种基于指令集随机化技术的SQL注入防范原型系统。该系统首先对SQL关键字经过特殊的随机化处理,然后与用户输入组装成完整的SQL语句,再使用随机化的SQL语法分析程序对语句是否存在注入进行判定。系统的实现不依赖于现有WEB应用程序和服务器平台。实验表明,此系统具有较好的防范SQL注入的效果和较低的运行开销。     

防SQL注入攻击的数据库驱动设计与实现

为了预防网络应用程序中的SQL注入攻击,提出了防SQL注入攻击的数据库驱动DDriver的设计方法.通过在应用程序和它下面的关系数据库管理系统之间放置一个安全的数据库驱动来检测SQL注入攻击.该驱动器根据预设的查询语句ID来判断SQL语句是否合法,不依赖应用程序和关系数据库,适用于任何系统.通过实现数据库驱动DDriver,并在两个关系数据库管理系统中测试其性能以及处理时间上的额外开销,验证了DDriver在防SQL注入攻击中的准确性及有效性.     

程序分析技术在SQL注入防御中的应用研究

SQL(Structured Query Language)注入是一种常用且易于实施的攻击手段,对Web应用程序的安全构成严重危害.通过分析SQL注入攻击的原理,提出一种基于程序分析技术的SQL注入防御原型系统.该系统以静态分析为基础,对污染数据进行跟踪,并为包含污染数据的SQL语句建立合法查询自动机模型,然后以此作为被测程序的探针,进行动态测试,跟踪并记录程序的执行情况.系统的实现针对Java的Web应用程序,不需要修改服务器以及数据库平台的配置.实验表明,该系统具有较好的防范SQL注入的效果和较低的运行开销.     

基于J2EE应用的SQL注入分析与防范

为了对基于J2EE应用的SQL注入漏洞进行有效发现和防范,在总结SQL注入原理的基础上,通过SQL注入攻击过程分析了可能造成的破坏,通过黑盒测试和白盒测试有效发现J2EE应用中存在的SQL注入漏洞,使用屏蔽出错信息、分配最小权限、参数化查询、输入验证及输入转义相结合的防范方法,可有效防御SQL注入攻击威胁,具有较高的实用性和安全性。     

基于Chopping的Web应用SQL注入漏洞检测方法

随着Web应用的不断普及,其安全问题越来越显突出,特别是SQL注入漏洞攻击,给用户的安全体验造成了巨大的威胁. 针对二阶SQL注入漏洞,本文提出了一种基于chopping技术的二阶SQL注入漏洞检测方法. 首先通过对待测应用程序进行chopping,获取到一阶SQL注入疑似路径;然后对一阶SQL注入疑似路径中的SQL语句进行分析,确定二阶SQL注入操作对,进而得到二阶SQL注入疑似路径;最后通过构造攻击向量并运行,确认二阶SQL注入疑似路径中漏洞是否实际存在. 实验结果表明,本方法能够有效地检测出二阶SQL注入漏洞.     

基于SQL语法树的SQL注入过滤方法研究

Web 应用的发展,使其涉及的领域也越来越广。随之而来的安全问题也越来越严重,尤其是 SQL注入攻击,给Web应用安全带来了巨大的挑战。针对SQL注入攻击,将基于SQL语法树比较的安全策略引入用户输入过滤的设计中,提出了一种新的SQL注入过滤方法。实验结果表明,该方法能够有效地防止SQL注入攻击,并有较高的拦截率和较低的误报率。     

基于正则表示的SQL注入过滤模块设计

研究SQL注入攻击行为及语法特征,采用正则表达式对攻击特征进行描述,在此基础上设计Web服务端SQL注入攻击过滤模块,使Http请求被提交至系统模块处理前实现注入攻击检查。测试结果表明,与单纯基于关键字的过滤相比,基于正则表示的过滤具有更高的识别率和较低的误报率,加载了过滤模块的Web服务器能较好地拦截多种SQL注入攻击,并且服务延迟较小。     

浅议SQL注入攻击原理及其防范措施

由于编程者对用户输入不作检查验证再加上Web应用程序存在漏洞,是导致SQL注入攻击的主要原因。文章着重讨论了SQL注入攻击的原理、特点和攻击方法,并结合ASP．NET特性从多个角度探讨了防止SQL注入攻击的安全措施。从而更好地维护网站数据的安全。     

一种新的反SQL注入策略的研究与实现

SQL注入是一种常用的且易于实施的攻击手段,对网络应用程序的安全构成严重威胁。本文提出并实现了一种新的反SQL注入策略:SQL语法预分析策略。该策略首先将SQL注入分类,并抽象出各类注入的语法结构;然后将用户输入预先组装成完整的SQL语句,对该语句进行语法分析,如果发现具有SQL注入特征的语法结构,则判定为SQL注入攻击。策略的实现不需要修改已有的应用程序代码,也不需要修改任何服务器平台软件。实验表明,新的策略具有极好的SQL注入识别能力,并成功地避免了传统的特征字符串匹配策略固有的高识别率和低误判率之间的矛盾。     

一种利用PHP防御SQL注入攻击的方法

PHP在Web应用程序开发中的广泛运用使得PHP Web应用程序成为众多恶意攻击者的攻击对象。基于此,通过对PHP解释器和运行时库的修改,使PHP Web应用程序无需修改便能够防御SQL注入攻击。与传统的利用动态着色方法防御漏洞不同,使用基于可信任输入的着色机制,采用SQL方言感知的检查方法,可解决传统方法防御Web漏洞的诸多问题,提高防御的准确率,消除误报。实验结果表明,该方法准确有效,对应用程序执行造成的负载较低。     

基于规则库和网络爬虫的漏洞检测技术研究与实现

Web技术是采用HTTP或HTTPS协议对外提供服务的应用程序,Web应用也逐渐成为软件开发的主流之一,但Web应用中存在的各种安全漏洞也逐渐暴露出来,如SQL注入、XSS漏洞,给人们带来巨大的经济损失.为解决Web网站安全问题,文章通过对Web常用漏洞如SQL注入和XSS的研究,提出了一种新的漏洞检测方法,一种基于漏洞规则库、使用网络爬虫检测SQL注入和XSS的技术.网络爬虫使用HTTP协议和URL链接来遍历获取网页信息,通过得到的网页链接,并逐步读取漏洞规则库里的规则,构造成可检测出漏洞的链接形式,自动对得到的网页链接发起GET请求以及POST请求,这个过程一直重复,直到规则库里的漏洞库全部读取构造完毕,然后继续使用网络爬虫和正则表达式获取网页信息,重复上述过程,这样便实现了检测SQL注入和XSS漏洞的目的.此方法丰富了Web漏洞检测的手段,增加了被检测网页的数量,同时涵盖了HTTP GET和HTTP POST两种请求方式,最后通过实验验证了利用此技术对Web网站进行安全检测的可行性,能够准确检测网站是否含有SQL注入和XSS漏洞.     

SDriver: Location-specific signatures prevent SQL injection attacks

SQL injection attacks involve the construction of application input data that will result in the execution of malicious SQL statements. Many web applications are prone to SQL injection attacks. This paper proposes a novel methodology of preventing this kind of attacks by placing a secure database driver between the application and its underlying relational database management system. To detect an attack, the driver uses stripped-down SQL queries and stack traces to create SQL statement signatures that are then used to distinguish between injected and legitimate queries. The driver depends neither on the application nor on the RDBMS and can be easily retrofitted to any system. We have developed a tool, SDriver, that implements our technique and used it on several web applications with positive results.     

基于静态分析的Java源代码SQL注入检测算法

研究了常见的SQL注入检测和源代码静态分析扫描的原理,提出Java源代码SQL注入检测算法,该算法通过对Java源代码词法分析和语法分析、建立抽象语法树、定义规则、遍历语法树和跟踪等,检测Java源代码中可能的SQL注入路径,测试结果表明,算法检测效果良好,识别率高。