SQL注入检测扫描器的设计与实现

发布时间：2017-06-16 08:05

  本文关键词：SQL注入检测扫描器的设计与实现，由笔耕文化传播整理发布。

【摘要】：随着计算机网络的高速发展,网络应用也越来越普及。网络安全是当今网络发展所衍生出来的一个关键性问题。而针对越来越多的应用网站的攻击就不可避免的成为一个网络安全的一个重要话题。其中SQL注入攻击更是网络安全的一个重要的攻防热点。SQL注入攻击不仅影响应用网站的正常运行,而且有可能使得应用网站的重要数据被泄露、篡改。通过SQL注入攻击进行网络渗透,甚至能取得局域网的所有系统的控制权。不仅是政府还是企业,面对这样的情况都会造成严重的影响和巨大的经济损失。所以,对SQL注入攻击的检测防御技术研究有着非常重要的意义。本论文正是针对SQL注入攻击问题,结合国内外对SQL注入攻击防御技术的研究,探讨SQL注入攻击产生的原因、技术特点、攻击原理和攻击过程。再介绍相关破解技术和木马技术,并比对现有的一些成熟SQL注入攻击分析工具。在综合各种研究分析后,设计与实现了一款SQL注入检测扫描器。本论文设计实现的SQL注入检测扫描器,主要包括十大功能模块,分别是扫描网站地址模块、SQL注入检测模块、数据库猜解和注入模块、扫描网站管理URL模块、增加数据字典模块、数据库表基本信息猜解模块、列信息猜解模块、内容信息猜解模块、人工专家注入模块和木马生成模块。SQL注入检测扫描器能对网站进行快速扫描检测,寻找可疑的SQL注入点,并对可疑的SQL注入点进行注入检测工作,确认注入后,能对数据库类型、数据库表、数据库列和数据库内容进行猜解。SQL注入检测扫描器也提供人工专家注入模块,方便进行人工分析,帮助人们发现动态网站中存在的SQL注入漏洞,分析SQL注入漏洞的威胁程度,从而更好的保障动态网站的安全性和可靠性。最后,本人综合国内外关于SQL注入攻击的研究成果,总结提出关于SQL注入攻击的防御技术研究,研究主要是从代码层和平台层防御技术研究进行分析总结。
【关键词】：网络安全 SQL注入攻击 防御技术 数据库猜解
【学位授予单位】：华南理工大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要5-6
• ABSTRACT6-11
• 第一章 绪论11-16
• 1.1 论文研究背景11-12
• 1.2 国内外研究现状12-15
• 1.2.1 国外研究现状12-13
• 1.2.2 国内研究现状13-15
• 1.3 论文研究目标和意义15
• 1.4 论文研究内容15-16
• 第二章 SQL注入攻击技术研究16-21
• 2.1 SQL注入攻击技术概述16-18
• 2.1.1 SQL注入攻击的概念16
• 2.1.2 SQL注入攻击产生的原因16-17
• 2.1.3 SQL注入攻击的特点17-18
• 2.2 SQL注入攻击实现原理和过程18
• 2.3 SQL注入攻击其他相关技术18-19
• 2.3.1 SQL注入攻击暴力破解技术18-19
• 2.3.2 SQL注入攻击字典猜解技术19
• 2.3.3 SQL注入攻击之木马技术19
• 2.4 SQL注入攻击现有工具分析19-20
• 2.5 本章小结20-21
• 第三章 SQL注入检测扫描器的设计21-35
• 3.1 软件需求分析21-23
• 3.1.1 系统需求21
• 3.1.2 系统目标21-22
• 3.1.3 系统设计原则22-23
• 3.2 软件概要设计23-26
• 3.2.1 系统模块设计原则23
• 3.2.2 系统主要功能模块23-24
• 3.2.3 系统流程设计24-26
• 3.3 软件详细设计26-34
• 3.3.1 扫描网站地址模块26
• 3.3.2 SQL注入检测模块26-27
• 3.3.3 数据库猜解和SQL注入模块27-28
• 3.3.4 扫描管理URL模块28-29
• 3.3.5 增加数据字典模块29-30
• 3.3.6 数据库表基本信息猜解模块30
• 3.3.7 列信息猜解模块30-31
• 3.3.8 内容信息猜解模块31-32
• 3.3.9 人工专家注入模块32-33
• 3.3.10 木马生成模块33-34
• 3.4 本章小结34-35
• 第四章 SQL注入检测扫描器的实现35-60
• 4.1 系统主要参数表35-36
• 4.2 系统主要功能函数36-49
• 4.2.1 扫描网站地址模块主要功能函数36-37
• 4.2.2 SQL注入检测模块主要功能函数37-38
• 4.2.3 数据库猜解和SQL注入模块主要功能函数38-40
• 4.2.4 扫描网站管理URL模块主要函数40-41
• 4.2.5 增加数据字典模块主要功能函数41-43
• 4.2.6 数据库表基本信息猜解模块主要功能函数43-44
• 4.2.7 列信息猜解模块主要功能函数44-46
• 4.2.8 内容信息猜解模块主要功能函数46-48
• 4.2.9 人工专家注入模块主要功能函数48
• 4.2.10 木马生成模块主要功能函数48-49
• 4.3 SQL注入检测扫描器系统测试49-59
• 4.3.1 测试环境49-50
• 4.3.2 测试过程50-59
• 4.3.3 测试结果总结59
• 4.4 本章小结59-60
• 第五章 SQL注入攻击防御技术研究60-68
• 5.1 代码层防御技术研究60-63
• 5.1.1 使用领域驱动安全进行软件开发60
• 5.1.2 使用参数化语句60
• 5.1.3 输入验证60-61
• 5.1.4 输出编码61
• 5.1.5 规范化61
• 5.1.6 通过设计来避免SQL注入的危险61-63
• 5.2 平台层防御技术研究63-67
• 5.2.1 运行时保护的平台63-65
• 5.2.2 确保数据库安全65-66
• 5.2.3 额外的部署考虑66-67
• 5.3 本章小结67-68
• 第六章 结论68-69
• 参考文献69-71
• 攻读硕士学位期间取得的研究成果71-72
• 致谢72-73
• 附件73

【相似文献】

中国期刊全文数据库 前10条

1 蒋丹丹;牛晓楠;;基于SQL的宿舍学生成绩管理系统设计与开发[J];企业技术开发;2012年20期

2 刘艳云;;《数据库设计与实现(SQL)》课程教学改革与实践[J];教育教学论坛;2013年51期

3 任晓东;SQL在中德合作云南二期造林项目管理信息系统中的应用[J];林业调查规划;2005年01期

4 张涛;王行建;;对SQL注入漏洞的研究与防范措施的探讨[J];计算机时代;2006年11期

5 杨应全,汪德彪;解决图书馆SQL服务器连接问题[J];现代情报;2005年09期

6 田yN敏;;基于SQL的高职计算机实验室管理系统的设计与实现[J];中国科教创新导刊;2011年14期

7 肖海蓉;;SQL中分组查询的设计与应用[J];计算机与数字工程;2009年05期

8 徐廷元;白静华;;优化SQL语句降低时间复杂度[J];电脑知识与技术;2009年03期

9 黄保华;马岩;谢统义;;用于SQL注入检测的语句块摘要树模型[J];信息安全与技术;2012年03期

10 吕美英;郭显娥;;NOSQL和可扩展的SQL[J];山西大同大学学报(自然科学版);2012年05期

中国重要会议论文全文数据库 前2条

1 符俊艺;;用VB和SQL开发交换机话务分析系统[A];海南省通信学会学术年会论文集（2005）[C];2005年

2 朱虹;舒鹏;;扩展SQL实现DBMS细粒度访问控制[A];第二十三届中国数据库学术会议论文集（技术报告篇）[C];2006年

中国重要报纸全文数据库 前10条

1 贵州 王伟;列的别名和SQL语句的格式化[N];电脑报;2004年

2 冬盈;SQL语句的自动优化[N];计算机世界;2002年

3 本报记者 许继楠;新版SQL Server应对大数据和云挑战[N];中国计算机报;2012年

4 贵州 王伟;SQL语句中的函数简介[N];电脑报;2004年

5 ;微软建立SQL中国研发中心[N];人民邮电;2007年

6 郭莹;微软SQL Server 2008添新版本[N];中国计算机报;2008年

7 西安 邹捷;VB中利用SQL语句实现高效数据处理[N];电脑报;2002年

8 ;首只攻击 SQL 服务器的蠕虫现身[N];中国电脑教育报;2002年

9 闵翔;人工智能自动SQL优化[N];中国计算机报;2001年

10 王少青;微软SQL：起于低端,后发制人[N];中国计算机报;2007年

中国硕士学位论文全文数据库 前10条

1 唐韬;基于HBase的SQL转化引擎研究[D];电子科技大学;2014年

2 刘汉江;SQL注入检测扫描器的设计与实现[D];华南理工大学;2015年

3 成晓利;Web应用SQL注入漏洞测试系统的研究与实现[D];西南交通大学;2013年

4 赵阳;基于SQL注入的数据安全测评技术研究[D];沈阳工业大学;2012年

5 赵伟;利用VC与SQL实现管壳式换热器的工艺设计[D];北京化工大学;2003年

6 王一U，

本文编号：454824