一种防SQL注入的静态分析方法

提出了一种基于静态分析的SQL注入攻击的检测方法。静态分析Web应用程序的源文件,提取污染源到执行参数的构造路径,形成检测规则。动态执行时替换规则中的输入参数为用户输入值,比较得到的SQL语句和原SQL语句在语义和结构上的异同,判断是否存在SQL注入攻击。实验结果表明,该方法有效可行,增加了过滤模块后对系统的性能影响不大。     

ASP.NET应用中SQL注入攻击的分析与防范

针对ASP.NET应用程序中存在SQL注入攻击问题,通过分析注入攻击的途径和方法,从输入过滤、语句参数化和SQL关键词转义三方面进行防范,实现三层防范模型。该防范模型可以自定义关键词转义规则,能够有效阻断SQL注入攻击途径,提高Web应用程序的安全性。实验结果表明该防范模型的可行性和有效性。      

基于代理模式的SQL注入过滤方法

针对Web安全中的SQL注入问题,提出了一种新的SQL注入过滤方法——LFS （length-frequency-SQL syntax tree）过滤方法. LFS方法包括学习和过滤两个阶段,其中,学习阶段在安全的环境下,通过爬虫和数据库代理构建URL和SQL语句映射表;过滤阶段通过对URL长度、访问频率及SQL语法树这三个方面进行检测,以此实现对用户输入进行过滤,防止SQL注入攻击. 仿真实验及结果分析表明LFS方法相较于传统的关键字过滤和正则表达式过滤能够更有效的防止SQL注入攻击.     

程序分析技术在SQL注入防御中的应用研究

SQL(Structured Query Language)注入是一种常用且易于实施的攻击手段,对Web应用程序的安全构成严重危害.通过分析SQL注入攻击的原理,提出一种基于程序分析技术的SQL注入防御原型系统.该系统以静态分析为基础,对污染数据进行跟踪,并为包含污染数据的SQL语句建立合法查询自动机模型,然后以此作为被测程序的探针,进行动态测试,跟踪并记录程序的执行情况.系统的实现针对Java的Web应用程序,不需要修改服务器以及数据库平台的配置.实验表明,该系统具有较好的防范SQL注入的效果和较低的运行开销.     

大规模Web应用的SQL注入攻击威胁检测研究

Web应用程序运行中容易受到SQL常规注入、二阶注入或盲注攻击影响，带来Web系统数据、用户隐私或敏感数据的安全威胁。为降低SQL注入对系统漏洞攻击影响，提出一种用于Web应用程序、服务器端的模糊测试漏洞检测技术，建立了模糊测试的SQL注入漏洞检测模型框架，使用漏洞检测框架的信息收集模块、模糊检测模块，按照关键字编码、大小写混合编码、结构化查询(Structured Query Language, SQL)语句注释、重组绕过等检测流程完成0级、1级、2级漏洞的参数查询和分级检测。最后利用ASP.NET、Microsoft Visual Studio、IIS服务器等软硬件搭建实验环境，对基于模糊测试技术SQL注入漏洞检测模型进行实验论证，仿真实验结果得出：基于模糊测试法的SQL注入漏洞检测模型，相比于程序切片(chopping)技术的Web应用源代码SQL注入攻击检测方法而言，在不同分级漏洞检测中的确认、检测效果更优（达到90%以上）。     

基于Chopping的Web应用SQL注入漏洞检测方法

随着Web应用的不断普及,其安全问题越来越显突出,特别是SQL注入漏洞攻击,给用户的安全体验造成了巨大的威胁. 针对二阶SQL注入漏洞,本文提出了一种基于chopping技术的二阶SQL注入漏洞检测方法. 首先通过对待测应用程序进行chopping,获取到一阶SQL注入疑似路径;然后对一阶SQL注入疑似路径中的SQL语句进行分析,确定二阶SQL注入操作对,进而得到二阶SQL注入疑似路径;最后通过构造攻击向量并运行,确认二阶SQL注入疑似路径中漏洞是否实际存在. 实验结果表明,本方法能够有效地检测出二阶SQL注入漏洞.     

基于SQL语法树的SQL注入过滤方法研究

Web 应用的发展,使其涉及的领域也越来越广。随之而来的安全问题也越来越严重,尤其是 SQL注入攻击,给Web应用安全带来了巨大的挑战。针对SQL注入攻击,将基于SQL语法树比较的安全策略引入用户输入过滤的设计中,提出了一种新的SQL注入过滤方法。实验结果表明,该方法能够有效地防止SQL注入攻击,并有较高的拦截率和较低的误报率。     

面向PHP应用程序的SQL注入行为检测

层出不穷的SQL注入攻击使Web应用面临威胁。针对PHP应用程序中的SQL注入行为，提出了一种基于污点分析的SQL注入行为检测模型。首先，该模型使用PHP扩展技术在SQL函数执行时获取SQL语句，并记录攻击者所携带的身份信息；基于以上信息生成SQL请求日志，并将该日志作为分析源。然后，基于SQL语法和抽象语法树，实现了污点标记的SQL语法分析过程，并使用污点分析技术，提取语法树中SQL注入行为的多个特征。最后，使用随机森林分类算法实现SQL注入行为的判定。与正则匹配检测技术对比实验结果显示，通过该模型检测SQL注入行为，准确率为96.9%，准确率提高了7.2个百分点。该模型的信息获取模块能以扩展形式加载在任何PHP应用程序中，因此该模型可移植性强，在安全审计和攻击溯源中具有应用价值。     

一种利用PHP防御SQL注入攻击的方法

PHP在Web应用程序开发中的广泛运用使得PHP Web应用程序成为众多恶意攻击者的攻击对象。基于此,通过对PHP解释器和运行时库的修改,使PHP Web应用程序无需修改便能够防御SQL注入攻击。与传统的利用动态着色方法防御漏洞不同,使用基于可信任输入的着色机制,采用SQL方言感知的检查方法,可解决传统方法防御Web漏洞的诸多问题,提高防御的准确率,消除误报。实验结果表明,该方法准确有效,对应用程序执行造成的负载较低。     

基于正则表示的SQL注入过滤模块设计

研究SQL注入攻击行为及语法特征,采用正则表达式对攻击特征进行描述,在此基础上设计Web服务端SQL注入攻击过滤模块,使Http请求被提交至系统模块处理前实现注入攻击检查。测试结果表明,与单纯基于关键字的过滤相比,基于正则表示的过滤具有更高的识别率和较低的误报率,加载了过滤模块的Web服务器能较好地拦截多种SQL注入攻击,并且服务延迟较小。     

基于异构冗余的拟态数据库模型设计与测试

数据库作为信息系统核心组件,存放着大量重要数据信息,易受到危害最大的SQL注入攻击.传统数据库防御手段需要攻击行为的特征等先验知识才能实施有效防御,具有静态、透明、缺乏多样性等缺陷.本文在此背景下,以拟态防御动态异构冗余原理为基础,使用保留字拟态化模块、指纹过滤模块、拟态化中间件模块实现SQL注入指令的指纹化、去指纹化、相似性判决,提出具有内生安全性的拟态数据库模型,并使用渗透测试演练系统DVWA中的SQL注入模块对该模型进行安全性测试,验证了拟态数据库模型的可用性和安全性.     

Web应用SQL注入漏洞分析及防御研究

基于Web的互联网应用蓬勃发展。Web应用在每个人的日常生活中扮演着重要的角色,积聚了大量的用户信息和数据,引起了黑客们的广泛关注。这使得Web应用的安全形势日渐严峻。保障Web应用程序和用户数据安全关系重大,本文对存在范围广、威胁程度高的SQL注入攻击进行了论述,分析了SQL注入攻击的机理及可能造成的危害,探讨了发现SQL注入攻击的方法以及如何实施防御措施,以期为Web应用安全性能的提升、为开发人员、网络安全工作者提供参考。     

基于Hash锁的RFID SQL注入攻击防御方法

传统的SQL注入攻击技术被攻击者用于攻击RFID系统,使后台数据库中的用户数据处于不安全状态。文章分析了使用SQL注入攻击RFID后端数据库的实施过程,针对这一安全问题提出了基于Hash锁的防SQL注入方法,并进行了模拟实验,该方法可以有效地防御RFIDSQL注入攻击。     

MySQL注入攻击及防范方法

随着网络应用的不断丰富,以及人们对于数据安全的重要性也不断加强,数据库的信息安全也逐渐被重视。数据库的攻击最常见的一种方法是SQL注入攻击。本文通过对SQL注入攻击的原理及常用技术手段的分析,借助MySQL函数的方法,对MySQL注入攻击的防范提出了通过浏览器和服务器两端进行双重防御的解决方法。     

一种新的反SQL注入策略的研究与实现

SQL注入是一种常用的且易于实施的攻击手段,对网络应用程序的安全构成严重威胁。本文提出并实现了一种新的反SQL注入策略:SQL语法预分析策略。该策略首先将SQL注入分类,并抽象出各类注入的语法结构;然后将用户输入预先组装成完整的SQL语句,对该语句进行语法分析,如果发现具有SQL注入特征的语法结构,则判定为SQL注入攻击。策略的实现不需要修改已有的应用程序代码,也不需要修改任何服务器平台软件。实验表明,新的策略具有极好的SQL注入识别能力,并成功地避免了传统的特征字符串匹配策略固有的高识别率和低误判率之间的矛盾。