基于手工SQL注入的Web渗透测试技术研究

发布时间：2017-04-09 19:15

  本文关键词：基于手工SQL注入的Web渗透测试技术研究，由笔耕文化传播整理发布。

【摘要】：随着Internet的普及和计算机网络的高速发展，基于Web的三层网络架构得到了广泛的应用越来越多的浏览器/服务器（B/S）架构的网络应用出现，也标志基于浏览器/服务器的应用系统逐渐取代基于客户端/服务器架构(C/S)的应用系统成为主流，广泛应用于小规模网络应用软件和企业级管理系统中但由于网络攻击技术的发展速度远高于网络防御技术的更新速度，加之网络编程人员对程序细节的把控不足，致使网络攻击行为泛滥，网络应用漏洞百出，随时威胁着用户的财产安全 为了应对日益猖獗的网络攻击行为，网络安全工程师运用换位思考的方式，提出了一种以攻击者的身份来对网络应用程序及网络架构进行评估的方法，，这种方法就是渗透测试它能够全面的探测目标网络的安全薄弱环节，为网络管理人员提供详细的渗透测试报告，对目标网络现状做出评估，并提供详尽的升级加固措施，提高目标网络系统的安全等级其中，SQL注入攻击作为一种以攻击网络应用的数据库服务器达到破坏网络资源或者窃取珍贵数据为目的的网络攻击，也是渗透测试的一种重要方法 本文介绍了渗透测试的概念与原理，并通过设计对以Access MySQL MsSQL为数据库的网络应用的SQL注入实验，着重分析了对以上数据库的注入方法在分析攻击方法之后，引入了SQL注入的代码层防御方法与应用层防御设备——Web应用防火墙（简称WAF）最后，本文在传统的WAF防御SQL注入模块的基础上，添加了数据库选型模块，使WAF可以对不同数据库的网络应用进行针对性防御
【关键词】：网络安全 Web三层架构 渗透测试 SQL注入攻击
【学位授予单位】：中北大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要4-5
• Abstract5-9
• 1 绪论9-14
• 1.1 选题背景9-10
• 1.2 国内外研究现状10-12
• 1.3 研究意义12-13
• 1.4 章节设置13-14
• 2 渗透测试相关概念与原理14-20
• 2.1 渗透测试的定义14
• 2.2 进行网络渗透攻击的原因14-15
• 2.3 渗透测试的种类15-16
• 2.4 渗透测试的工作模式16
• 2.5 渗透测试的工作步骤16-18
• 2.6 渗透攻击的常用命令及工具汇总18-19
• 2.7 本章小结19-20
• 3 SQL 注入实施与技术应用20-38
• 3.1 渗透测试常用方法——SQL 注入20-23
• 3.1.1 SQL 注入的定义20
• 3.1.2 SQL 注入与数据库20-21
• 3.1.3 SQL 注入攻击流行的原因21-22
• 3.1.4 产生 SQL 注入漏洞的原因22-23
• 3.2 SQL 注入的原理23-27
• 3.2.1 Web 三层架构及数据查询信息流23-26
• 3.2.2 引发数据库语法错误26-27
• 3.3 SQL 注入的种类27
• 3.4 SQL 注入27-37
• 3.4.1 寻找动态提交参数网页27-30
• 3.4.2 提交参数识别数据库信息30-32
• 3.4.3 SQL 注入方法32-37
• 3.4.4 经典的“and 1=1”和“and 1=2”逻辑判别法原理37
• 3.5 本章小结37-38
• 4 对网站的 SQL 注入实验38-59
• 4.1 实验环境介绍38
• 4.2 实验过程及原理38-39
• 4.3 渗透攻击常用命令介绍39-40
• 4.4 对基于 ACCESS 网络应用的注入实验40-50
• 4.5 对基于 MySQL 数据库的网络应用注入实验50-54
• 4.6 对基于 MsSQL 数据库的网络应用的注入实验54-58
• 4.7 本章小结58-59
• 5 SQL 注入防御技术分析及实现59-69
• 5.1 代码层防护59-62
• 5.1.1 参数化 SQL 语句59-60
• 5.1.2 使用输入限制60-61
• 5.1.3 存储过程61-62
• 5.2 应用层防护——Web 应用防火墙62-68
• 5.2.1 反向代理63-64
• 5.2.2 HTTP 请求包验证模块64
• 5.2.3 SQL 防注入模块64-68
• 5.3 本章小结68-69
• 6 全文总结69-70
• 参考文献70-73
• 研究成果73-74
• 致谢74-75

【参考文献】

中国期刊全文数据库 前10条

1 崔雪冰;王妍玲;;基于URL重写技术的SQL注入攻击防御方法[J];河南城建学院学报;2009年03期

2 杨成科;;基于正则表达式的模糊查询和数据匹配验证[J];电脑知识与技术;2008年29期

3 刘彬;;SQL注入式攻击分析[J];电脑知识与技术;2009年14期

4 陈恒涛;张鹃;毛新华;;Web环境下的SQL注入式攻击与主动防御[J];河南科技学院学报(自然科学版);2005年04期

5 陈小兵;张汉煜;骆力明;黄河;;SQL注入攻击及其防范检测技术研究[J];计算机工程与应用;2007年11期

6 周敬利;王晓锋;余胜生;夏洪涛;;一种新的反SQL注入策略的研究与实现[J];计算机科学;2006年11期

7 周伟;王丽娜;张焕国;;一种基于树结构的网络渗透测试系统[J];计算机与数字工程;2006年12期

8 彭赓;范明钰;;基于改进网络爬虫技术的SQL注入漏洞检测[J];计算机应用研究;2010年07期

9 余静;高丰;徐良华;朱鲁华;;基于SQL注入的渗透性测试技术研究[J];计算机工程与设计;2007年15期

10 王云;郭外萍;陈承欢;;Web项目中的SQL注入问题研究与防范方法[J];计算机工程与设计;2010年05期

  本文关键词：基于手工SQL注入的Web渗透测试技术研究，由笔耕文化传播整理发布。

本文编号：295945