共查询到20条相似文献,搜索用时 31 毫秒
1.
2.
本文主要介绍了Web应用程序的概念及漏洞的危害,并对Web应用程序的常见漏洞进行了深入分析,主要研究了SQL注入漏洞和XSS漏洞的成因及攻击过程。 相似文献
3.
4.
,现在由于互联网的广泛应用和迅猛发展,Web应用的使用越来越广泛,面临的问题就是攻击者可以使用SQL注入漏洞获取到服务器的库名、表名、字段名,进而来盗取数据库中用户名和密码等数据。攻击者通过非法手段来获取数据库的权限,可以对Web应用程序进行删改等操作。SQL注入漏洞使Web应用程序安全存在巨大的安全隐患,对整个数据库也有严重的影响。 相似文献
5.
6.
Web技术是采用HTTP或HTTPS协议对外提供服务的应用程序,Web应用也逐渐成为软件开发的主流之一,但Web应用中存在的各种安全漏洞也逐渐暴露出来,如SQL注入、XSS漏洞,给人们带来巨大的经济损失.为解决Web网站安全问题,文章通过对Web常用漏洞如SQL注入和XSS的研究,提出了一种新的漏洞检测方法,一种基于漏洞规则库、使用网络爬虫检测SQL注入和XSS的技术.网络爬虫使用HTTP协议和URL链接来遍历获取网页信息,通过得到的网页链接,并逐步读取漏洞规则库里的规则,构造成可检测出漏洞的链接形式,自动对得到的网页链接发起GET请求以及POST请求,这个过程一直重复,直到规则库里的漏洞库全部读取构造完毕,然后继续使用网络爬虫和正则表达式获取网页信息,重复上述过程,这样便实现了检测SQL注入和XSS漏洞的目的.此方法丰富了Web漏洞检测的手段,增加了被检测网页的数量,同时涵盖了HTTP GET和HTTP POST两种请求方式,最后通过实验验证了利用此技术对Web网站进行安全检测的可行性,能够准确检测网站是否含有SQL注入和XSS漏洞. 相似文献
7.
随着Web应用的不断普及,其安全问题越来越显突出,特别是SQL注入漏洞攻击,给用户的安全体验造成了巨大的威胁. 针对二阶SQL注入漏洞,本文提出了一种基于chopping技术的二阶SQL注入漏洞检测方法. 首先通过对待测应用程序进行chopping,获取到一阶SQL注入疑似路径;然后对一阶SQL注入疑似路径中的SQL语句进行分析,确定二阶SQL注入操作对,进而得到二阶SQL注入疑似路径;最后通过构造攻击向量并运行,确认二阶SQL注入疑似路径中漏洞是否实际存在. 实验结果表明,本方法能够有效地检测出二阶SQL注入漏洞. 相似文献
8.
对SQL注入漏洞的研究与防范措施的探讨 总被引:2,自引:0,他引:2
SQL注入漏洞受到广泛的重视。SQL注入漏洞再结合其它系统漏洞会造成数据的丢失甚至服务器被控制。文章详细介绍SQL注入漏洞的原理,并结合实际应用讲解SQL注入漏洞的检测方法,以及SQL注入漏洞的具体防范措施。最后给出了几种防注入漏洞的源代码,代码都经过测试,已投入使用。 相似文献
9.
10.
随着Web应用越来越广泛,SQL注入成为对Web应用攻击的常用手段之一,并且SQL注入攻击技术也层出不穷,尤其是网络针对SQL注入漏洞的各种工具也是推陈出新,不断的向安全人员提出挑战. 相似文献
11.
为了给检测SQL注入漏洞提供理论依据和技术支持,通过对SQL注入攻击技术的研究和对SQL注入漏洞的本质特征的分析,提取了可动态配置内部参数的SQL攻击模板集,并以此模板集为基础,结合盲注入技术和多线程技术提出了一种SQL快速攻击方法,并建立了一套SQL盲注入快速攻击原型系统.系统利用SQL注入攻击模板集实施攻击行为,利用多线程技术提高系统攻击效率.实验结果表明,系统可以快速准确地实现攻击目的,获取后台数据库数据,可以很好地应用于检测Web应用程序存在的漏洞. 相似文献
12.
Web应用程序运行中容易受到SQL常规注入、二阶注入或盲注攻击影响,带来Web系统数据、用户隐私或敏感数据的安全威胁。为降低SQL注入对系统漏洞攻击影响,提出一种用于Web应用程序、服务器端的模糊测试漏洞检测技术,建立了模糊测试的SQL注入漏洞检测模型框架,使用漏洞检测框架的信息收集模块、模糊检测模块,按照关键字编码、大小写混合编码、结构化查询(Structured Query Language, SQL)语句注释、重组绕过等检测流程完成0级、1级、2级漏洞的参数查询和分级检测。最后利用ASP.NET、Microsoft Visual Studio、IIS服务器等软硬件搭建实验环境,对基于模糊测试技术SQL注入漏洞检测模型进行实验论证,仿真实验结果得出:基于模糊测试法的SQL注入漏洞检测模型,相比于程序切片(chopping)技术的Web应用源代码SQL注入攻击检测方法而言,在不同分级漏洞检测中的确认、检测效果更优(达到90%以上)。 相似文献
13.
基于Web的互联网应用蓬勃发展。Web应用在每个人的日常生活中扮演着重要的角色,积聚了大量的用户信息和数据,引起了黑客们的广泛关注。这使得Web应用的安全形势日渐严峻。保障Web应用程序和用户数据安全关系重大,本文对存在范围广、威胁程度高的SQL注入攻击进行了论述,分析了SQL注入攻击的机理及可能造成的危害,探讨了发现SQL注入攻击的方法以及如何实施防御措施,以期为Web应用安全性能的提升、为开发人员、网络安全工作者提供参考。 相似文献
14.
为了提高脚本系统的安全性,及时发现、防范Web系统中可能存在的SQL注入漏洞,文章详细分析了基于SQL注入的攻击原理,从Web服务器管理员、数据库服务器管理员、数据库设计员、代码程序员4个方面总结了深度防注入技术实现的17个核心法则,旨在给出一个比较系统全面的SQL注入防范策略。 相似文献
15.
16.
基于改进网络爬虫技术的SQL注入漏洞检测* 总被引:5,自引:1,他引:4
网络爬虫在搜索引擎领域广泛使用,SQL注入漏洞检测属于Web服务和数据库安全的范畴。为了提高网站的安全性,及时、有效地发现网站存在的SQL注入漏洞,改进了现有的网络爬虫技术,应用到对网站SQL注入漏洞的检测中,丰富了检测的手段,降低了检测的漏报率。最后通过实验证明了该技术的可行性。 相似文献
17.
为提高网页结构化查询语言(Structured Query Language,SQL)注入漏洞检测精度和检测效率,引入网络爬出技术,开展对其检测方法的设计研究。引入了一种SQL注入漏洞扫描程序,可抓取网页,并计算页面相似度;检测时模拟SQL注入漏洞攻击,对网页SQL注入漏洞扩展过程建模;利用网络爬虫技术,检测SQL可注入点,并深度挖掘漏洞。通过对比实验证明,设计的检测方法正确检测数量较多,检测耗时较短,具备极高的应用价值。 相似文献
18.
SQL注入(SQLinjection)漏洞是网站中普遍存在的漏洞之一,同时也是影响企业运营且最具破坏性的漏洞之一。SQL注入漏洞的检测模式可分为手工分析和自动化工具扫描分析两种方式。虽然有很多自动化工具可以帮助我们快速检测SQL注入漏洞,但工具检测能力十分有限,就目前而言,扫描工具的最大瓶颈在于如何确保爬虫所得待测数据的全面性。由于爬虫技术的限制,大部分扫描工具的误报和漏报概率都比较大。人工分析虽然可以保证漏洞检测的准确度,但检测过程需要消耗大量时间且效率比较低下。针对此种情况,文章提出一种基于代理模式的SQL注入漏洞检测方法,该方法在兼顾准确率和效率的基础之上,综合利用已有漏洞检测工具的优点,实现快速全面收集待测数据,以此确保SQL注入漏洞检测的高效性和准确性。另外,文章还利用该方法对Web应用中的XSS漏洞进行了检测分析,并取得了非常好的效果。 相似文献
19.
SQL注入是对Web应用程序造成威胁非常流行的一种攻击方法,本文从SQL注入的原理技术进行分析,介绍如何从多个角度防止SQL注入,更好的维护Web应用程序的安全。 相似文献
20.
SQL语言本身并不存在漏洞,只有它和系统相结合才有可能产生SQL注入漏洞。主要是在编程中忽略了安全因素,造成了SQL注入漏洞。使恶意访问者通过构造SQL语句产生注入漏洞.得到系统的管理权限,从而达到破坏数据库的目的。本文介绍了SQL注入漏洞及防御方法。 相似文献