基于Mycat的拟态数据库中间件研究

数据库系统的安全不仅依赖于数据库本身的安全,还受网络环境和操作系统的安全性影响,拟态防御是邬江兴院士首次提出的基于动态异构冗余体系架构,协同实现数据库所依赖环境,使数据库安全由被动防御变为主动防御.本文通过Mycat作为数据库中间件,通过对数据库的读写分离,集群的高可用,分布式事务处理,对指纹化SQL识别,以减轻单一数据库的数据存取和处理压力.Mycat将数据库模块变为异构动态冗余模式,实现数据库拟态化,使数据高效,快速,安全的存取和切分.     

基于异构冗余的拟态数据库模型分析

信息系统中,数据库是关键和核心部分,是基本组件之一,其存有大量用于研究分析的数据,但其易受侵袭,经常被SQL注入和攻击。以往数据库主要的防御措施是先明确攻击的主要特征,再采取切实有效的防御方法,该种模式具有明显的缺陷和问题,如单一性及透明、静态等。拟态数据库模型具有内生安全性,因此,笔者着重对这种拟态数据库模型的实际可用性及使用过程中的安全性进行分析,以供相关研究借鉴和参考。     

二阶SQL注入攻击防御模型

随着互联网技术的快速发展,Web应用程序的使用也日趋广泛,其中基于数据库的Web应用程序己经广泛用于企业的各种业务系统中。然而由于开发人员水平和经验参差不齐,使得Web应用程序存在大量安全隐患。影响Web应用程序安全的因素有很多,其中SQL注入攻击是最常见且最易于实施的攻击,且SQL注入攻击被认为是危害最广的。因此,做好SQL注入攻击的防范工作对于保证Web应用程序的安全十分关键,如何更有效地防御SQL注入攻击成为重要的研究课题。SQL注入攻击利用结构化查询语言的语法进行攻击。传统的SQL注入攻击防御模型是从用户输入过滤和SQL语句语法比较的角度进行防御,当数据库中的恶意数据被拼接到动态SQL语句时,就会导致二阶SQL注入攻击。文章在前人研究的基础上提出了一种基于改进参数化的二阶SQL注入攻击防御模型。该模型主要包括输入过滤模块、索引替换模块、语法比较模块和参数化替换模块。实验表明,该模型对于二阶SQL注入攻击具有很好的防御能力。     

基于J2EE应用的SQL注入分析与防范

为了对基于J2EE应用的SQL注入漏洞进行有效发现和防范,在总结SQL注入原理的基础上,通过SQL注入攻击过程分析了可能造成的破坏,通过黑盒测试和白盒测试有效发现J2EE应用中存在的SQL注入漏洞,使用屏蔽出错信息、分配最小权限、参数化查询、输入验证及输入转义相结合的防范方法,可有效防御SQL注入攻击威胁,具有较高的实用性和安全性。     

Web项目中的SQL注入问题研究与防范方法

基于B/S模式的网络服务构架技术的应用被普遍采用,许多该类型的应用程序在设计与开发时没有充分考虑到数据合法性校验问题,因此使其在应用中存在安全隐患.在横向比较SQL注入攻击模式的基础之上,分析了SQL注入攻击的特点、原理,并对常用注入途径进行了总结.提出在主动式防范模型的基础上,使用输入验证,sQLserver防御以及使用存储过程替代参数化查询相结合的形式构建出一种有效防范SQL注入攻击的思路和方法.测试结果表明该防范模型具有较高的实用性和安全性.     

基于SQL注入的渗透测试研究

为了提高数据库系统的安全性,防范利用各种数据库漏洞尤其是SQL注入漏洞对数据库发起的攻击,本文分析了基于SQL注入渗透测试的相关技术和渗透方法,并在此基础上提出一个渗透测试的宏观模型,并给出各模块主要功能和渗透流程。     

拟态防御Web服务器设计与实现

Web服务器系统作为重要的服务承载和提供平台,面临的安全问题日益严重.已有的防御技术主要基于已知攻击方法或漏洞信息进行防御,导致难以很好地应对未知攻击的威胁,从而难以全面防护web服务器系统的安全.论文首先提出了攻击链模型,对已有技术的问题和不足进行了深入的分析.在此基础上,提出了基于“动态异构冗余”结构的拟态防御模型,并描述了拟态防御模型的防御原理和特点.基于拟态防御模型构建了拟态防御web服务器,介绍了其架构,分析了拟态原理在web服务器上的实现.安全性和性能测试结果显示拟态防御web服务器能够在较小开销的前提下,防御测试中的全部攻击类型,说明拟态防御web服务器能够有效提升系统安全性,验证了拟态防御技术的有效性和可行性.最后讨论了拟态防御技术今后的研究前景和挑战.     

程序分析技术在SQL注入防御中的应用研究

SQL(Structured Query Language)注入是一种常用且易于实施的攻击手段,对Web应用程序的安全构成严重危害.通过分析SQL注入攻击的原理,提出一种基于程序分析技术的SQL注入防御原型系统.该系统以静态分析为基础,对污染数据进行跟踪,并为包含污染数据的SQL语句建立合法查询自动机模型,然后以此作为被测程序的探针,进行动态测试,跟踪并记录程序的执行情况.系统的实现针对Java的Web应用程序,不需要修改服务器以及数据库平台的配置.实验表明,该系统具有较好的防范SQL注入的效果和较低的运行开销.     

存储过程技术在网络考试系统SQL注入攻击防御上的应用

介绍利用SQL Server存储过程来提高网上考试系统的安全性,讨论SQL注入攻击及采用存储过程的方法进行防御,给出了网上考试系统中随机生成试卷等存储过程的实现方法.采用存储过程能有效防御SQL注入攻击,提高系统的安全性.     

基于B/S系统的SQL注入防御技术研究

随着互联网的发展,基于Web服务器语言和后台数据库模式的网站存在安全性问题,其中SQL注入数据库是最具威胁B/S系统漏洞的攻击。该文分析了SQL注入原理及特点,研究了预防SQL注入的攻击方法,针对B/S系统的特点,提出了字段检查、注入测试、服务器加固、绑定变量和禁止字符串拼接等SQL注入的防治手段,对预防SQL注入提供了有效的方法,增加了B/S系统的安全性。     

MySQL注入攻击及防范方法

随着网络应用的不断丰富,以及人们对于数据安全的重要性也不断加强,数据库的信息安全也逐渐被重视。数据库的攻击最常见的一种方法是SQL注入攻击。本文通过对SQL注入攻击的原理及常用技术手段的分析,借助MySQL函数的方法,对MySQL注入攻击的防范提出了通过浏览器和服务器两端进行双重防御的解决方法。     

管理信息系统的安全性研究

管理信息系统的安全性历来是MIS开发者和使用者研究和注意的重要问题。从软件体系结构、数据库系统的安全性和网络安全性等方面详细介绍了管理信息系统可能存在的安全问题以及可以采取的各种安全措施，并介绍了SQL注入式攻击及相应的防范措施。     

基于ASP.NET的管理信息系统安全性研究与实践

论述了面向Intemet开放的信息系统由于用户群复杂而存在较大的安全问题,同时论述了我院教学管理信息平台的安全机制。针对基于ASP．NET和SQL Server2005构建的信息系统,通过基于角色的窗体安全认证机制确保程序访问安全、防止SQL注入攻击确保数据库的安全、通过存储过程操作数据库加强数据库的安全,这些技术的应用大大加强了系统的安全性,具有很强的推广价值。     

基于面向对象数据库的网站安全研究

简要介绍了在网站安全当中具有较大危害性的SQL注入攻击的定义、特点、基本原理、实施步骤,现有防御对策以及这些对策的局限性,面向对象数据库db4o的特点和优势。针对现有对策的局限性结合db4o的优点,提出了一种基于面向对象数据库db4o的全新的对策,对该对策进行了详细的分析,经过实验证明,本对策具有一定的理论和实际意义。     

基于SQL注入的Web数据安全防范与优化

SQL注入利用数据库系统的安全漏洞,以及程序中的验证漏洞,构造合适的SQL语句,并通过正常的URL访问进行代码提交,获取数据库中的相关信息,从而实现网站攻击的目的。加强用户提交数据的合法性验证,是防止SQL注入的基本方法。而改善ASP中的Request函数,使其具有对一切用户数据进行合法验证的能力,是SQL注入威胁下,Web数据安全防范方法的最佳优化。     

基于B/S模式的数据库应用系统安全

随着数据库技术和管理信息系统的发展,两者的结合越来越紧密,其安全性正逐步引起人们的重视。数据库应用系统是在数据库管理系统支持下建立的以数据库为基础和核心的计算机应用系统,由数据库系统、应用程序系统和用户组成。文中主要探讨了基于B/S模式的SQL Server数据库应用系统的安全问题。结合B/S模式的三层结构,分别从应用程序、服务器和数据库层次进行安全性研究。其中,应用程序安全采用输入验证、输出编码和会话管理技术;服务器安全采用安全协议、操作系统安全、防火墙技术和防SQL注入攻击技术;数据库安全技术采用用户认证、访问控制、数据加密、审计追踪和视图机制技术。     

基于正则表示的SQL注入过滤模块设计

研究SQL注入攻击行为及语法特征,采用正则表达式对攻击特征进行描述,在此基础上设计Web服务端SQL注入攻击过滤模块,使Http请求被提交至系统模块处理前实现注入攻击检查。测试结果表明,与单纯基于关键字的过滤相比,基于正则表示的过滤具有更高的识别率和较低的误报率,加载了过滤模块的Web服务器能较好地拦截多种SQL注入攻击,并且服务延迟较小。