论文检索
论文发表
当前位置:主页 > 管理论文 > 移动网络论文 >

SQL注入深度检测扫描器的设计

发布时间:2017-10-24 06:33

  本文关键词:SQL注入深度检测扫描器的设计


  更多相关文章: SQL注入 漏洞检测 多线程爬虫 深度检测 模拟攻击


【摘要】:伴随互联网技术的日新月异和高速发展,网络已逐渐成为了人们日常生活所不可或缺的“必需品”。然而,凡事都有两面性。网络在带给人们便利生活的同时,也给恶意攻击者提供了一个绝好的犯罪舞台。“网络犯罪”对大家来说,已不再陌生和遥远。网络安全已成为了一个不可忽视的重大问题,其中,尤以SQL注入漏洞较为严重。 本文在深入研究SQL注入产生的原理、利用方式、防御措施的前提下,研究和设计出了一款专门用于SQL注入深度扫描的扫描器,其主要阶段的处理工作包括: 对待测站点的爬虫扫描。本文采用了基于多线程的爬虫,可以很好地提升扫描速度,提高抓取效率。本文所设计的爬虫,用java语言编程,从用户指定的主页开始,按照指定的深度抓取该站点域名下的网页。为实现线程同步,调用synchronized关键字避免线程冲突。当扫描结束时,爬虫模块会在指定文件夹下自动生成result.txt文件,记录扫描结果。同时,本文还用到了Hashtable类关联数组,以防止重复抓取网页。 在深度探测模块中,本文通过sleep()和BENCHMARK()函数,对不确定是否存在SQL注入的页面进行延时注入检测。如果存在SQL注入,则用户输入会被Web应用程序执行。具体到该模块,则是sleep()和BENCHMARK()函数会被应用程序执行,执行的结果将是页面返回时间存在延迟,即可证明该页面确实可以进行注入。本文即是采用延时注入的方法,将经过普通SQL注入检测模块未检测出存在注入的页面再检测一遍,以达到降低漏报率的目的。 在模拟攻击模块,本文通过字典暴破、查看和分析页面返回的错误信息、逐位猜解的方式对已检测出存在注入漏洞的站点进行模拟攻击。通过模拟黑客攻击,对SQL注入漏洞做一个漏洞高危级别判定。 经实验证明,本文设计实现的这款SQL注入深度检测扫描器不仅扫描速度快,而且通过增加深度扫描模块,降低了漏报率;并在此基础上,帮助渗透测试员理解SQL注入漏洞可能造成的危害,加强程序员的安全防护意识。
【关键词】:SQL注入 漏洞检测 多线程爬虫 深度检测 模拟攻击
【学位授予单位】:哈尔滨理工大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【目录】:
  • 摘要5-6
  • Abstract6-10
  • 第1章 绪论10-16
  • 1.1 课题的背景及研究的目的和意义10-12
  • 1.2 国内外研究现状12-15
  • 1.2.1 国外研究现状12-14
  • 1.2.2 国内研究状况14-15
  • 1.3 本文主要研究内容15-16
  • 第2章 SQL 注入技术阐述16-23
  • 2.1 SQL 注入概述16-18
  • 2.1.1 SQL 注入的概念16
  • 2.1.2 SQL 注入产生的原因16-18
  • 2.1.3 SQL 注入的特点18
  • 2.2 SQL 注入攻击原理18-22
  • 2.2.1 SQL 注入攻击举例18-19
  • 2.2.2 SQL 手工注入攻击过程19-20
  • 2.2.3 工具实施 SQL 注入20-21
  • 2.2.4 SQL 注入防御21-22
  • 2.3 本章小结22-23
  • 第3章 SQL 注入深度检测扫描器的设计23-31
  • 3.1 现有系统分析比较23-25
  • 3.2 主要功能及性能指标25-27
  • 3.3 软件设计原则27
  • 3.4 系统总体设计27-29
  • 3.5 系统总体流程设计29-30
  • 3.6 本章小结30-31
  • 第4章 SQL 注入深度深度检测扫描器的实现31-50
  • 4.1 爬虫模块31-36
  • 4.1.1 爬虫原理31
  • 4.1.2 爬虫的结构框架31
  • 4.1.3 爬虫的实现31-36
  • 4.2 普通 SQL 注入检测模块36-39
  • 4.2.1 模块功能36
  • 4.2.2 模块实现36-39
  • 4.3 深度 SQL 注入检测模块39-41
  • 4.3.1 模块功能39
  • 4.3.2 模块实现39-41
  • 4.4 模拟攻击模块41-47
  • 4.4.1 模块功能41
  • 4.4.2 猜解后台数据库类型子模块41-42
  • 4.4.3 猜解数据库表子模块42-43
  • 4.4.4 猜解表字段子模块43-44
  • 4.4.5 猜解内容子模块44-47
  • 4.5 系统测试47-49
  • 4.5.1 测试环境47-48
  • 4.5.2 测试实施48
  • 4.5.3 测试过程48-49
  • 4.6 本章小结49-50
  • 结论50-51
  • 参考文献51-55
  • 攻读硕士学位期间所发表的学术论文55-56
  • 致谢56

【参考文献】

中国期刊全文数据库 前10条

1 徐嘉铭;;SQL注入攻击原理及在数据库安全中的应用[J];电脑编程技巧与维护;2009年18期

2 刘帅;;SQL注入攻击及其防范检测技术的研究[J];电脑知识与技术;2009年28期

3 李必云;石俊萍;;Web攻击及安全防护技术研究[J];电脑知识与技术;2009年31期

4 俞小怡;常艳;许捍卫;;Web应用中的攻击防御技术的研究与实现[J];计算机安全;2008年06期

5 陈小兵;张汉煜;骆力明;黄河;;SQL注入攻击及其防范检测技术研究[J];计算机工程与应用;2007年11期

6 周德懋;李舟军;;高性能网络爬虫:研究综述[J];计算机科学;2009年08期

7 赵亭;陆余良;刘金红;孙宏纲;施凡;;基于表单爬虫的Web漏洞探测[J];计算机工程;2008年09期

8 陈建青;张玉清;;Web跨站脚本漏洞检测工具的设计与实现[J];计算机工程;2010年06期

9 尹江;尹治本;黄洪;;网络爬虫效率瓶颈的分析与解决方案[J];计算机应用;2008年05期

10 杨波,朱秋萍;Web安全技术综述[J];计算机应用研究;2002年10期



本文编号:1087508

资料下载
论文发表

本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1087508.html

上一篇:移动互联网技术产业进展与发展趋势  
下一篇:内容中心网络的分层缓存策略研究
论文发表
最近更新
教材专著
热点文章

Copyright(c)文论论文网All Rights Reserved | 网站地图 |

版权申明:资料由用户a5020***提供,本站仅收录摘要或目录,作者需要删除请E-mail邮箱bigeng88@qq.com