Web应用中SQL注入攻击研究

SQL注入攻击是一种利用客户端用户提交数据构成查询语句而没有对潜在有害字符进行处理就在Web应用后台数据库中执行,从而产生与应用预期不同结果的一种攻击手段。在Internet或企业内部网络中,对Web应用中进行SQL注入攻击大量存在。这种攻击手段很容易被攻击者利用,但是只要对Web应用采取合理的安全防护措施就可以阻止SQL注入的发生或减少攻击造成的损失。     

Web环境下SQL注入攻击的检测与防御

简要介绍了SQL注入式攻击的原理。在前人提出的“对用户输入信息实施过滤”的技术基础上，建立了一个针对SQL注入攻击的检测／防御／备案通用模型。该模型在客户端和服务器端设置两级检查。对于一般性用户误操作和低等级恶意攻击，客户端的检查将自动做出反应；考虑到客户端检查有可能被有经验的攻击者绕开，特在服务器端设定二级检查。在文中还提出了对高等级恶意攻击的自动备案技术，并给出了相应代码。     

Web页面中SQL注入攻击过程及防御措施

Web页面中的SQL注入攻击是当前黑客最常用的攻击方法,现阐述了SQL注入攻击的定义,根据目前黑客对SQL注入攻击的现状,分析了注入式攻击和SQL注入的原理,对SQL注入攻击的完整过程作了全面剖析,然后针对大多数网站都存在着SQL注入漏洞等过滤和约束不严的问题,从网站管理员和Web应用开发者两个方面给出了防御SQL注入攻击的有效措施。     

防范SQL注入的应用分析

由于各种Web服务器的漏洞与程序的非严密性,导致针对Web服务器的脚本攻击事件日益增多,其大多是通过ASP或PHP等脚本注入作为主要的攻击手段,Web站点迅速膨胀的今天,基于两者的SQL注入也慢慢成为目前攻击的主流方式。文中简要介绍了SQL注入攻击的概念和原理,以及SQL注入攻击的特点和实现过程,并在此基础上叙述了如何检测SQL注入攻击,总结了一般的SQL注入攻击的防范方法.     

SQL注入攻击安全防护技术研究

随着数据库在Web中的广泛应用,SQL注入已成为黑客攻击数据库的常见手段。为有效预防SQL注入攻击,首先对SQL注入攻击的相关原理进行说明,针对目前SQL注入的攻击特点及其注入流程进行了剖析和研究,给出了几种可有效预防SQL注入攻击的防护方法,并对其最佳的使用情况进行了说明。     

Oracle 11g网页注入中数据返回攻防研究

SQL注入攻击是近几年来非常流行的针对数据库的攻击手段,因为经由Web页面可以绕过防火墙来渗透攻击数据库系统,进而攻击操作系统,所以具有强大的破坏性。在通过Web页面实施SQL注入的过程中,如何将查询结果返回给攻击者（即数据返回技术）是一个非常核心的技术内容。研究对象是针对Oracle 11g为后台数据库的网站,对其实施SQL注入攻击中的5种数据返回技术,以及与之相对应的各种防御手段。     

针对门户网站SQL注入漏洞软件的设计与实现

现在SQL注入攻击是Web应用系统的严重安全隐患,通过该类型攻击,攻击者可以非法获得Web后台数据库中企业和用户的隐私信息。本文研究了网站爬取页面技术与SQL注入原理,设计实现了对门户网站SQL注入探测系统并对该系统进行了测试,测试结果表明能够快速的对网站页面进行扫描并找到存在SQL注入漏洞的页面。     

基于标识的SQL注入攻击防御方法

注入式漏洞已成为Web应用程序的首要安全风险,而由于SQL注入漏洞的广泛流行和Web应用程序数据库所包含的各种重要内容对攻击者的高吸引力,使得SQL注入攻击也成为了近年来最流行的入侵方式。基于标识的SQL注入攻击防御系统通过将处理后的SQL查询语句与对应的调用方法的堆栈地址相结合,生成对应的唯一标识符,并通过该标识符来判定SQL查询语句的合法性,将恶意SQL查询与合法SQL查询区分开来,有效保证了对大多数SQL注入攻击的防御。     

SQL注入攻击与检测技术研究

随着互联网的发展和普及,基于Web服务器语言和后台数据库模式的网站越来越多,其安全形势也日渐严峻,SQL注入是其中最具威胁的一类攻击。介绍了SQL注入攻击的原理与特点,分析了SQL注入攻击的一般过程和攻击方法,最后提出对该攻击的检测模型。实验证明,该检测模型对主流的SQL注入攻击具有较好的检测效果。     

SQL注入攻击及其检测防御技术研究

本文对SQL注入攻击的原理和方法进行了介绍,对如何检测和防御SQL注入攻击进行了研究.网络系统安全问题是一个持续性问题,SQL注入攻击作为网络中最为常见的攻击手段.了解并掌握如何有效防御SQL注入攻击对提升Web网络系统的安全性有着重大的现实指导意义.     

SQL注入与代码防御

当下Web应用对人们来说已经是一个非常熟悉的东西,几乎人人都在用它,网上购物、获取信息、浏览新闻、网上银行等等,现代化的生活几乎离不开它,但带来方便的同时Web应用也面临着许许多多的安全问题,SQL注入就是其中最重要的安全问题之一,它以其攻击手法易学,成功率高等特点成为了黑客攻击网站的主要手段之一,文中针对目前主流的SQL攻击手法进行研究和分析,并在此基础上给出在应用开发过程中应该注意的问题和代码编写时的防御手段。     

基于AOP和动态污点分析的SQL注入行为检测方法

Web应用程序时刻面临着来自网络空间中诸如SQL注入等代码注入式攻击的安全威胁.大多数针对SQL注入攻击的检测方法执行效率较低,检测精度也不够高,特别是实现方法不易被重用.根据注入型脆弱性特征提出了一种基于AOP（Aspect-Oriented Programming）和动态污点分析的SQL注入行为检测方法,并通过方面（aspect）模块化单元对污点分析过程进行了封装,使得安全这类典型的程序横切关注点从基层子系统中分离,提高了检测代码的可重用性.在污点汇聚点结合通知（advice）机制动态加载各类检测组件实现在运行时执行检测代码,从而应对SQL注入这类典型的针对Web应用程序的代码注入攻击方式.实验表明,该方法能够在不修改应用程序执行引擎及源码的前提下实现自保护过程,有效防御重言式（tautologies）、逻辑错误查询（logically incorrect queries）、联合查询（union query）、堆叠查询（piggy-backed queries）、存储过程（stored procedures）、推理查询（inference query）、编码转换（alternate encodings）等7种典型的SQL注入攻击类型.     

Penetration test method using blind SQL injection based on second-order fragment and reassembly

How to get rid of the blindness of current SQL injection penetration test,produce the optimized attack pattern of SQL injection,enhance the effectiveness in the phase of attack generation,and improve the accuracy of vulnerability detection of SQL injection using penetration test,is a big challenge.In order to resolve these problems,a new penetration test method using blind SQL injection was proposed based on second-order fragment and reassembly.In this method,the SQL injection attack model was built firstly and then the multiform and multi-type attack patterns of SQL injection penetration test driven by the SQL injection attack model was produced,which can reduce the blindness of SQL injection penetration test and improve the accuracy of SQL injection vulnerability detection.The experiments of SQL injection vulnerability detection was conducted through the actual Web applications by using proposed method in comparison with current methods.The analysis results of test show the proposed method is better compared with other methods,which not only proves the effectiveness of proposed method,but also improve the accuracy of SQL injection vulnerability detection by reducing false negative in the defensive environment.     

浅谈网站注入式攻击以及应对措施

SQL注入式攻击是Web服务器面临的最严重的威胁行为,该种类型攻击能给用户带来无法挽回的危害.介绍了SQL注入攻击的基本原理以及基于编码阶段和服务器运行阶段的防范措施,从而可以帮助用户检查自己的服务器的漏洞.在程序中恰当地运用编码安全技术无疑可以有效地提高数据库的安全性,而针对Web服务器进行的多种主动安全防御措施则是大势所趋.     

基于IIS+ASP+MSSQL架构的 Web应用的SQL注入防御机制

With the sharp increase of hacking attacks over the last couple of years, web application security has become a key concern. SQL injection is one of the most common types of web hacking and has been widely written and used in the wild. This paper analyzes the principle of SQL injection attacks on Web sites, presents methods available to prevent IIS+ASP+MSSQL web applications from these kinds of attacks, including secure coding within the web application, proper database configuration, deployment of IIS. The result is verified by WVS report.     

SQL注入检测与防范方法研究

随着互联网的发展,Web应用程序开发也变得越来越普及.但目前很多B/S模式的Web服务技术的应用程序,在设计之初,都未能充分考虑数据的校验与过滤.因此,这些应用在使用中就存在着不少的安全隐患,SQL注入的攻击方式便乘虚而入.本文分析了SQL注入攻击的原理、特点,并对常用的注入方法进行了总结.最后,在主动防御的基础上,针对软件测评工作,提出了一套防范SQL注入的安全方案和思路.     

面向网络环境的SQL注入行为检测方法

SQL注入攻击是Web应用面临的主要威胁之一,传统的检测方法针对客户端或服务器端进行。通过对SQL注入的一般过程及其流量特征分析,发现其在请求长度、连接数以及特征串等方面,与正常流量相比有较大区别,并据此提出了基于长度、连接频率和特征串的LFF（length-frequency-feature）检测方法,首次从网络流量分析的角度检测SQL注入行为。实验结果表明,在模拟环境下,LFF检测方法召回率在95%以上,在真实环境下,该方法也取得较好的检测效果。