一种防SQL注入的静态分析方法
[Abstract]:A detection method of SQL injection attack based on static analysis is proposed. The source files of Web applications are analyzed statically, and the construction path from source to execution parameters is extracted to form detection rules. The input parameter in the dynamic execution substitution rule is the user input value. Comparing the semantic and structural differences between the SQL statement and the original SQL statement, we can judge whether there is SQL injection attack or not. The experimental results show that this method is effective and feasible and has little effect on the performance of the system after adding the filter module.
【作者单位】: 江西师范大学计算机信息工程学院;
【基金】:科技部国际合作项目(2010DFA70990)
【分类号】:TP393.08
【参考文献】
相关期刊论文 前2条
1 徐陋;姚国祥;;SQL注入攻击全面预防办法及其应用[J];微计算机信息;2006年09期
2 文昌辞,王昭顺;软件测试自动化静态分析研究[J];计算机工程与设计;2005年04期
【共引文献】
相关期刊论文 前10条
1 管水能;;电子商务安全实验室建设[J];电脑知识与技术;2006年20期
2 张洪星;褚建立;;基于ASP.NET的SQL注入攻击及防范解决方案[J];电脑知识与技术;2006年35期
3 黄婵;毛敏;;基于B/S模式下WEB数据库数据安全建设的思考[J];计算机安全;2007年01期
4 马吉明,韩丽,甘勇;自动机到正规表达式的重构方法研究[J];计算机工程与应用;2004年23期
5 陈小兵;张汉煜;骆力明;黄河;;SQL注入攻击及其防范检测技术研究[J];计算机工程与应用;2007年11期
6 朱丹枫;赵琛;陈伟;;一种用于测试编译优化的程序控制结构生成算法[J];计算机应用研究;2006年06期
7 宋亮,刘廷龙,许敏;PL/0语言编译机制实现研究[J];计算机工程与设计;2005年08期
8 余建军;韩双霞;黄云龙;;软件安全性的静态分析[J];计算机工程与设计;2006年08期
9 吴慧韫;李卓群;;基于H模型的软件测试管理应用模型研究[J];计算机工程与设计;2006年11期
10 谭浩;关昕;马力;;性能测试的原理及其自动化工具的实现[J];计算机工程与设计;2006年19期
相关会议论文 前2条
1 方舟;王霓虹;;网络环境下SQL注入攻击常见方法和防御策略研究[A];黑龙江省计算机学会2007年学术交流年会论文集[C];2007年
2 韩江洪;张亚琼;魏正佳;;脚本语言词法分析器的状态转移图构造[A];计算机技术与应用进展·2007——全国第18届计算机技术与应用(CACIS)学术会议论文集[C];2007年
相关硕士学位论文 前10条
1 王万山;从Java语言到XML语言的转换[D];吉林大学;2005年
2 宋香梅;基于源代码的隐通道搜索工具的研究及实现[D];江苏大学;2005年
3 王相懂;软件静态分析自动化工具的研究与实现[D];西安理工大学;2006年
4 董洋溢;网络作业管理系统的研究与实现[D];西北工业大学;2006年
5 冀佩刚;程序静态分析研究[D];兰州大学;2006年
6 徐剑峰;C-Java自动程序转换系统原型的设计和实现[D];上海师范大学;2006年
7 刘继华;基于风险的Web应用软件测试方案研究与应用[D];太原理工大学;2006年
8 贾宗宣;基于生命周期的软件自动化测试系统的设计[D];四川大学;2006年
9 余公平;软件自动化测试系统的研究与实现[D];上海交通大学;2007年
10 李岩;C++程序的单元测试系统的研究与实现[D];沈阳工业大学;2007年
【相似文献】
相关期刊论文 前10条
1 于翔;阎宏印;刘泳;;网络数据库安全初探[J];科技情报开发与经济;2007年10期
2 魏斌峰;谢晓燕;;SQL注入攻击剖析[J];科技广场;2007年09期
3 步山岳;沈益彬;;校园网漏洞检测与防范[J];网络安全技术与应用;2008年02期
4 张景文;;基于ASP的教育网站安全策略分析[J];广州航海高等专科学校学报;2009年02期
5 韩盛定;张鉴新;;SQL注入式攻击的原理与防御[J];信息与电脑(理论版);2009年11期
6 葛昕;杨小东;岳敏楠;;基于.NET的信息系统SQL注入防御研究[J];中国教育信息化;2010年13期
7 李晓辉;;ASP网站安全性探析[J];信息与电脑(理论版);2010年11期
8 孙茜;宫云战;杨朝红;;基于静态检测的程序安全漏洞测试[J];北京化工大学学报(自然科学版);2007年S1期
9 李吉;王雷;;C程序缓冲区溢出漏洞精确检测方法[J];北京航空航天大学学报;2008年03期
10 石颖;孔巧;;SQL注入攻击与防护措施研究[J];电脑知识与技术;2009年04期
相关会议论文 前5条
1 李毅;顾健;顾铁军;;系统等级保护中的Web应用安全评估[A];全国计算机安全学术交流会论文集(第二十四卷)[C];2009年
2 方舟;王霓虹;;网络环境下SQL注入攻击常见方法和防御策略研究[A];黑龙江省计算机学会2007年学术交流年会论文集[C];2007年
3 陈时敏;韩心慧;;基于机器学习的网页木马识别方法研究[A];第26次全国计算机安全学术交流会论文集[C];2011年
4 杨卫军;张舒;胡光俊;;基于攻击树模型的木马检测方法[A];第26次全国计算机安全学术交流会论文集[C];2011年
5 梁兴开;赵泽茂;黄亮;;Web应用中的ReDoS检测方法研究[A];浙江省电子学会2011学术年会论文集[C];2011年
相关重要报纸文章 前1条
1 张琳;本土化防护迫在眉睫[N];网络世界;2007年
相关博士学位论文 前3条
1 王祥根;自修改代码逆向分析方法研究[D];中国科学技术大学;2009年
2 夏一民;缓冲区溢出漏洞的静态检测方法研究[D];国防科学技术大学;2007年
3 杨学红;BPEL流程的故障模式及其静态分析技术的研究[D];北京邮电大学;2011年
相关硕士学位论文 前10条
1 陈明辉;缓冲区溢出漏洞的测试方法研究[D];中国科学技术大学;2009年
2 张超;COM组件栈缓冲区溢出漏洞检测技术研究[D];华中科技大学;2008年
3 许社村;基于特征分析的缓冲区溢出发现技术研究[D];哈尔滨工业大学;2006年
4 任凯锋;缓冲区溢出和SQL注入的渗透测试[D];太原理工大学;2006年
5 沈寿忠;基于网络爬虫的SQL注入与XSS漏洞挖掘[D];西安电子科技大学;2009年
6 华景煜;基于静态分析的异常检测研究[D];大连理工大学;2009年
7 朱斌;网络数据库的加密技术研究与应用[D];西安科技大学;2009年
8 徐欣民;一种缓冲区溢出漏洞自动挖掘及漏洞定位技术[D];华中科技大学;2008年
9 朱爱宇;基于.NET架构的影音网站开发[D];山东大学;2006年
10 卜英奇;网站安全技术的分析及应用[D];吉林大学;2007年
,本文编号:2129256
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2129256.html
