基于Web的SQL注入漏洞扫描系统的分析与设计
本文关键词:基于Web的SQL注入漏洞扫描系统的分析与设计,由笔耕文化传播整理发布。
【摘要】:随着计算机网络技术的发展,基于数据库架构和Web技术的应用系统已日趋流行,并在企业内的业务系统中得到广泛的应用。由于Web应用本身带有天然的缺陷,使其很容易受到外界攻击。为了抵御越来越严重的安全风险,专家们也积极研究新的防范措施。Web安全渗透测试技术就是一种效果良好的防范技术,该技术是完全模拟黑客的手段对Web应用系统进行攻击探测。通常攻击者有多种手段对Web应用实施攻击,SQL注入攻击是最常见且危害较大的一种,至少有70%的Web站点存在SQL注入漏洞。这些漏洞不仅威胁到数据库信息,还对系统和用户信息造成威胁。因此,做好相关的入侵检测和防范工作是保证Web应用系统和整个信息基础设施安全的关键。由于目前存在的SQL注入检测大都是基于语法分析的策略,这种策略的检测效率较低,并且现有的SQL注入漏洞扫描系统也普遍存在对漏洞的扫描不够全面等缺陷,本文针对以上问题具体做了以下工作。1、通过研究SQL注入漏洞相关的防御和检测技术,利用本地搭建好的实验环境,以Pubs数据库为例子结合多种渗透手法进行SQL注入实验,在手工SQL注入的基础上又介绍了工具注入的原理,并总结了手工注入和工具注入的特点和异同。2、根据SQL注入攻击的特点,提出了4种具体的防御措施,为SQL注入漏洞检测方法提供了参考。实验证明使用这些防御措施的Web应用系统可以防范绝大多数的SQL注入攻击,并且对Web应用系统中出现的SQL注入点也有较好的识别效果。3、根据SQL注入攻防的实验理论,设计了一个SQL注入漏洞扫描系统,此系统扫描算法采用树模型结构,并运用正则规则改进了传统的提取URL的方法,使从HTML字符串中提取出的URL为绝对路径,系统还引入了多线程技术,通过实验证明该系统能有效的检测出网络站点存在的SQL注入漏洞。
【关键词】:Web应用 渗透测试 SQL注入 漏洞扫描
【学位授予单位】:陕西师范大学
【学位级别】:硕士
【学位授予年份】:2016
【分类号】:TP393.08
【目录】:
- 摘要3-4
- Abstract4-9
- 第1章 绪论9-15
- 1.1 选题背景与研究意义9-10
- 1.2 国内外研究现状10-13
- 1.2.1 国内研究现状10-12
- 1.2.2 国外研究现状12
- 1.2.3 目前主要的SQL注入漏洞扫描工具12-13
- 1.3 主要研究目标和内容13-14
- 1.4 论文结构与安排14-15
- 第2章 Web渗透测试和SQL注入攻击相关理论15-25
- 2.1 Web渗透测试15-20
- 2.1.1 Web渗透测试的概念15
- 2.1.2 渗透测试分类15-17
- 2.1.3 深入分析渗透测试的原理17-20
- 2.2 SQL注入攻击20-24
- 2.2.1 什么是SQL注入攻击20
- 2.2.2 SQL注入实现原理20-21
- 2.2.3 SQL注入攻击的种类21-23
- 2.2.4 可能导致SQL注入的隐患23
- 2.2.5 SQL注入的特点和主要危害23-24
- 2.3 小结24-25
- 第3章 SQL注入漏洞攻击与防御25-43
- 3.1 测试环境搭建25-26
- 3.1.1 测试环境组成25
- 3.1.2 测试环境介绍25-26
- 3.2 寻找SQL注入点实施渗透26-27
- 3.3 手工注入测试27-32
- 3.3.1 手工注入测试流程27-28
- 3.3.2 利用恒等式注入攻击28-31
- 3.3.3 猜解表名31-32
- 3.4 工具注入测试32-35
- 3.4.1 工具注入流程32-33
- 3.4.2 HDSI3.0工具注入流程33-35
- 3.5 SQL注入攻击的防御35-42
- 3.5.1 通过正则表达校验用户输入36-38
- 3.5.2 通过参数化存储过程进行数据查询存取38-39
- 3.5.3 参数化SQL语句39-40
- 3.5.4 添加新架构40-42
- 3.6 小结42-43
- 第4章 SQL注入漏洞扫描系统的设计43-53
- 4.1 系统功能需求分析43-44
- 4.2 实现思路及关键技术44-46
- 4.2.1 建立扫描模型45-46
- 4.2.2 设计扫描算法46
- 4.3 从HTML字符串中提取URL链接46-48
- 4.3.1 通过编码获得HTML字符串47-48
- 4.3.2 传统方法提取字符串中的URL48
- 4.4 提取URL方法的改进48-49
- 4.5 测试系统使用效果49-51
- 4.5.1 系统实验验证49-50
- 4.5.2 实验效果对比50-51
- 4.6 小结51-53
- 第5章 总结与展望53-55
- 5.1 本文所做工作53
- 5.2 研究与展望53-55
- 参考文献55-59
- 致谢59-61
- 攻读硕士期间的研究成果61
【相似文献】
中国期刊全文数据库 前10条
1 ;启明星辰推出新一代漏洞扫描产品[J];信息网络安全;2003年11期
2 卢铮;分布式漏洞扫描技术与系统[J];信息网络安全;2005年09期
3 赵燕;;漏洞扫描技术浅析[J];内蒙古水利;2011年03期
4 朱健华;;浅析信息化建设中的安全漏洞扫描技术[J];中国科技投资;2012年27期
5 吴宏胜;浅析分布式漏洞扫描系统[J];信息网络安全;2005年04期
6 段丹青;陈松乔;杨卫平;;融合漏洞扫描的入侵检测系统模型的研究[J];计算机技术与发展;2006年05期
7 陈东红;王震宇;邓承志;;分布式漏洞扫描系统的设计[J];信息工程大学学报;2006年02期
8 夏洁武;郭晨;;一个基于漏洞扫描的安全中间件架构设计[J];微计算机信息;2007年12期
9 段丹青;陈松乔;杨卫平;;漏洞扫描与入侵检测联动系统的研究[J];计算机应用研究;2007年07期
10 李为;;谈系统漏洞扫描[J];天津职业院校联合学报;2007年05期
中国重要会议论文全文数据库 前10条
1 于磊;屈樊;吴礼发;;漏洞扫描技术研究[A];2007通信理论与技术新发展——第十二届全国青年通信学术会议论文集(上册)[C];2007年
2 龚小刚;;网络漏洞扫描技术研究[A];中国电子学会第十七届信息论学术年会论文集[C];2010年
3 王琦;;漏洞扫描等工具在安全评估中的作用[A];中国信息协会信息安全专业委员会年会文集[C];2004年
4 李锋;冯珊;魏莹;周凯波;;基于移动智能体技术的漏洞扫描系统模型[A];西部开发与系统工程——中国系统工程学会第12届年会论文集[C];2002年
5 李建安;谷利泽;杨义先;;漏洞扫描与补丁管理系统的设计与实现[A];第一届中国高校通信类院系学术研讨会论文集[C];2007年
6 李锋;陶兰;;天成网络安全卫士系统的设计和开发[A];Java技术及应用的进展——第八届中国Java技术及应用交流大会文集[C];2005年
7 王佳生;;政务信息网的安全保障体系[A];黑龙江省通信学会学术年会论文集[C];2005年
8 范渊;;Web应用风险扫描的研究与应用[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年
9 彭亮;卓新建;黄玮;范文庆;;基于网络爬虫的XSS漏洞扫描系统的设计与实现[A];第十三届中国科协年会第11分会场-中国智慧城市论坛论文集[C];2011年
10 孟江桥;李爱平;;基于Metasploit加载Nessus的漏洞扫描技术实现[A];第27次全国计算机安全学术交流会论文集[C];2012年
中国重要报纸全文数据库 前10条
1 杨亮;当前网络漏洞扫描产品市场初探[N];大众科技报;2005年
2 罗韩琦;网络漏洞扫描产品市场前景看好[N];中国高新技术产业导报;2005年
3 罗韩琦;网络漏洞扫描市场 技术与服务并重[N];中国高新技术产业导报;2005年
4 ;启明星辰推出分布式漏洞扫描系统[N];中国计算机报;2003年
5 ;为弥补系统漏洞出力[N];网络世界;2004年
6 刘金光;使用漏洞扫描工具有效防范蠕虫病毒[N];中国电脑教育报;2004年
7 ;金睛火眼寻蚁穴[N];网络世界;2005年
8 杨金龙;福建榕基提升“堵漏”新标准[N];中国企业报;2005年
9 齐文泉 钟山 杨冀龙;查找弱点 防患未然[N];计算机世界;2005年
10 ;首创网络出台新举措[N];科技日报;2001年
中国硕士学位论文全文数据库 前10条
1 占善华;分布式漏洞扫描模型研究与应用[D];广东工业大学;2013年
2 吴倩倩;综合型漏洞扫描系统的研究与设计[D];华北电力大学;2015年
3 张楠;Web应用安全漏洞扫描技术研究[D];浙江大学;2015年
4 解华俊;SQL注入攻击扫描分析工具的实现与攻击防范技术研究[D];南京邮电大学;2015年
5 曹龙虎;oVirt-KVM桌面云漏扫系统的研究与设计[D];电子科技大学;2016年
6 王琪;面向Web应用的漏洞扫描技术研究[D];南京邮电大学;2016年
7 冉世伟;基于Masscan漏洞扫描技术的研究[D];南开大学;2016年
8 赵书博;基于OpenVAS的漏洞扫描系统设计与实现[D];济南大学;2016年
9 王博瑞;分布式漏洞扫描系统的设计与实现[D];西安电子科技大学;2015年
10 李瑞;基于OpenVAS的漏洞扫描系统设计与实现[D];西安电子科技大学;2015年
本文关键词:基于Web的SQL注入漏洞扫描系统的分析与设计,,由笔耕文化传播整理发布。
本文编号:281772
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/281772.html
