二阶SQL注入技术和检测方法研究
发布时间:2020-12-24 19:43
随着WEB2.0新技术的出现,WEB应用在互联网各行各业中快速发展,应用范围十分广泛。与此同时WEB应用也面临着日趋复杂的安全威胁,其中注入漏洞是影响WEB应用安全最重要的漏洞之一,而SQL注入漏洞又是注入漏洞中影响最广泛、最严重的漏洞。SQL注入攻击通常是攻击者将构造的恶意语句依附在正常的HTTP请求中,通过验证并被解析执行,从而发生注入攻击。SQL注入攻击会造成敏感信息泄漏、WEB应用非法访问等严重后果。根据SQL注入的产生过程,本文将SQL注入划分为一阶SQL注入漏洞和二阶SQL注入漏洞。当前对于一阶SQL注入漏洞的预防和检测方法比较成熟,但对于二阶SQL注入漏洞缺少准确有效的检测方法。本文通过深入研究SQL注入技术和原理,总结了 SQL注入漏洞存在的规律和特征,将一阶SQL注入攻击和二阶SQL注入攻击过程进行细分,二阶SQL注入过程可以抽象为存储和检索2个步骤。在深入理解二阶SQL注入攻击原理的基础上,HTML5客户端数据库本地存取数据的新技术出现,并根据其离线更新的机制,发现一种新类型二阶SQL注入漏洞,将其称为二阶异步SQL注入漏洞。通过数据项将二阶SQL注入漏洞2个步骤关...
【文章来源】:山东大学山东省 211工程院校 985工程院校 教育部直属院校
【文章页数】:58 页
【学位级别】:硕士
【部分图文】:
图2-1?WEB应用分层图??
畸形的SQL代码后,插入后的SQL代码仍然会执行,语义上并不受影响。植入??式SQL注入又分为字符串植入式SQL注入和数字植入式SQL注入。植入式SQL??注入过程如图2-2所示。??恶意输入??原SQ頃询???;主入后的SQL语句?恶意输入??图2-2植入式SQL注入过程??①字符串植入式SQL注入??下面我们通过一个实例来了解该类型SQL注入的过程。假设某WEB应用A??的会员登录的页面,需要输入用户名和口令后经验证才能登录,而WEB应用未??对此处的用户输入做任何验证。此处请求查询的SQL语句如表2-1所示:??9??
图2-3注释符SQL注入利用过程??下面介绍具体的利用代码,本小节仍然采用上面的WEB应用A为例,则会员??录的SQL语句代码如表2-8所示。??表2-8会员登录SQL语句LECT?*?FROM?members?WHERE?memberN?=‘?[xingming]?’??D?steganogram^?4?[mima]?’??现在将or?1=1;--”插入到’?memberN?’字段,注释掉原来的SQL语句的后??分,具体代码如表2-9所示。??表2-9注释符利用代码LECT?*?FROM?members??
【参考文献】:
硕士论文
[1]SQL注入的自动化检测技术研究[D]. 杨高明.电子科技大学 2015
[2]SQL注入漏洞检测研究[D]. 刘笑杭.杭州电子科技大学 2014
[3]多功能SQL注入检测系统的实现及攻击防范方法研究[D]. 刘合叶.北京交通大学 2009
本文编号:2936205
【文章来源】:山东大学山东省 211工程院校 985工程院校 教育部直属院校
【文章页数】:58 页
【学位级别】:硕士
【部分图文】:
图2-1?WEB应用分层图??
畸形的SQL代码后,插入后的SQL代码仍然会执行,语义上并不受影响。植入??式SQL注入又分为字符串植入式SQL注入和数字植入式SQL注入。植入式SQL??注入过程如图2-2所示。??恶意输入??原SQ頃询???;主入后的SQL语句?恶意输入??图2-2植入式SQL注入过程??①字符串植入式SQL注入??下面我们通过一个实例来了解该类型SQL注入的过程。假设某WEB应用A??的会员登录的页面,需要输入用户名和口令后经验证才能登录,而WEB应用未??对此处的用户输入做任何验证。此处请求查询的SQL语句如表2-1所示:??9??
图2-3注释符SQL注入利用过程??下面介绍具体的利用代码,本小节仍然采用上面的WEB应用A为例,则会员??录的SQL语句代码如表2-8所示。??表2-8会员登录SQL语句LECT?*?FROM?members?WHERE?memberN?=‘?[xingming]?’??D?steganogram^?4?[mima]?’??现在将or?1=1;--”插入到’?memberN?’字段,注释掉原来的SQL语句的后??分,具体代码如表2-9所示。??表2-9注释符利用代码LECT?*?FROM?members??
【参考文献】:
硕士论文
[1]SQL注入的自动化检测技术研究[D]. 杨高明.电子科技大学 2015
[2]SQL注入漏洞检测研究[D]. 刘笑杭.杭州电子科技大学 2014
[3]多功能SQL注入检测系统的实现及攻击防范方法研究[D]. 刘合叶.北京交通大学 2009
本文编号:2936205
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2936205.html
