SQL注入攻击检测与防御研究

简要介绍了SQL注入攻击的原理,对SQL注入攻击方式进行了分析,总结了SQL注入攻击的流程。根据SQL注入攻击的基本原理以及入侵前和入侵后的检测方法不同,提出了SQL注入攻击检测的方法,并在此基础上给出了一种基于客户端和服务器端的SQL注入攻击的防御模型,经过测试表明该模型的计算时间复杂度低,具有安全性和通用性,解决了网络中存在的SQL注入攻击问题。     

一种基于少量异常标签的SQL注入攻击检测方法

SQL注入攻击通过入侵目标数据库实现对数据的窃取或破坏,危害性极大.SQL注入攻击检测可帮助及时发现潜在的安全威胁,从而有利于数据库安全防护.然而在智能交通系统中,由于其内部的复杂性和SQL注入攻击新变种的不断涌现,可供机器学习模型训练的异常标签样本往往较少,使得现有大多数SQL注入攻击检测方法容易存在模型过拟合和性能退化的问题.针对上述问题,本文综合考虑智能交通系统和SQL注入攻击的特点,设计了一种基于比特编码的SQL注入攻击检测框架.该框架无需预训练词嵌入模型和进行语法规则解析.基于该框架,本文提出基于注意力机制的半监督SQL注入攻击检测模型(ASDM).该模型首先通过重构数据样本,学习样本特征的中心趋势和离散程度等高层次特征,表达特征后验分布和特征偏离程度;接着将该高层次特征与数据编码特征融合,突出不同类别数据间的差异;最后引入注意力机制和残差网络构造检测器输出判定结果,以使模型能够根据重要程度对特征施加不同的关注力度,同时具有较强的泛化能力.实验结果表明：本文方法在数据标签不平衡的情况下,相较于其他SQL注入攻击检测方法具有更优的检测性能;并能够检测未知SQL注入攻击.     

基于SQL注入的安全防范检测技术研究

为了提高数据库系统的安全性,及时发现、防范网站中可能存在的SQL注入漏洞,详细分析了基于SQL注入的攻击原理,从应用服务器、数据服务器、功能代码本身等3个方面探讨了如何避免SQL注入攻击.在此基础上从功能程序本身方面对已有的“检测、防御、备案”通用模型进行了优化,改良后的SQL注入攻击通用检验模型只在服务器端设置检查,对攻击者进行备案,对于攻击次数过多的用户所提出的请求服务器将不予理会,而且被抽象出来以单独函数形式存在,使用时直接调用即可,适用于所有页面.实验表明,该模型系统能较好发现系统存在的SQL注入脆弱点,从而有效提升系统的安全性.     

基于渗透测试的网络安全漏洞实时侦测技术研究

传统网络安全漏洞侦测技术无法准确得到攻击注入点,和服务器交互频繁,导致侦测结果不可靠、效率低下。为此,提出一种新的基于渗透测试的网络安全漏洞实时侦测技术。设计了渗透测试下网络安全漏洞实时侦测系统,构建系统架构,在生成攻击图时,将网络当前节点漏洞看作单位编码,利用进化计算对不同漏洞属性权重进行调整,获取攻击图库。在设计攻击注入点分析模块时,利用广度优先爬取法,依据网页目录层次实现网络页面爬取;通过爬取过程获取网络全部页面攻击注入点,根据Bloom Filter对重复的URL进行去重处理。利用渗透测试实现攻击和分析模块设计,以此生成攻击图对注入点注入攻击;对攻击反馈进行研究,判断注入点是否存在网络安全漏洞。渗透测试时为了降低交互频率,通过探子请求技术完成探测,对是否进行进一步侦测进行判断。实验结果表明,所提技术侦测结果可靠,效率高。     

SQL注入攻击与防范实验的设计与实现

介绍了SQL注入的原理、攻击和防范技术,并通过设计具体实验方案演示了SQL注入攻击与防范的全过程及细节。通过搭建存在SQL注入漏洞的Web网站并对其进行SQL注入攻击,观察被攻击的效果,进行漏洞修复。对漏洞修复后的系统进行攻击,并对比修复漏洞前后的现象,以此得出SQL注入漏洞的原理、产生原因、对应攻击原理及如何防范漏洞,加深对SQL注入的理解。     

一个通用防止SQL注入系统的设计与实现

SQL注入攻击是一种很容易实现的入侵方式,攻击者通过检测网页地址的注入入口,构造SQL语句,非法获取网站资源.本文介绍了SQL注入形成的原因、检测方法,防止SQL注入的几种常见的措施,结合实际给出了一个SQL通用防注入的程序.     

ASP.NET的SQL注入攻击及防御

研究ASP.NET网站的SQL注入攻击的成因、攻击距离,通过实例说明ASP.NET程序中的SQL注入攻击方式.研究表明:要防范SQL注入,最重要的就是要做好危险字符验证的程序、异常编码的处理,屏敝错误信息,并从代码安全上进行阻止,如设置可靠的SQL参数、给数据进行加密处理、查验用户信息、设置存储路径和设置安全措施等,从而加强ASP.NET网站的性能和安全,避免SQL注入攻击的实现.     

一种通用的彻底解决SQL注入漏洞的编码方法

SQL注入攻击的本质是在字符数据中插入可执行的代码。对字符串进行16进制ASCII编码即可彻底防止在数据中插入任何可执行的代码,从而达到彻底阻止SQL注入攻击的目的。而这种编码能保留字符数据的所有性质,不影响基于该字段的连接、比较、排序等操作。     

一种SQL盲注防范模块的设计

随着web应用技术越来越复杂,SQL注入攻击尤其是SQL盲注已经成为当前最流行的数据库攻击手段之一。文章分析了SQL盲注的原理和攻击过程,重点提出一种双重混合防御模式,即在web服务器层使用输入验证全面减少web站点的注入可能,随后在数据库层部署安全网关实时过滤注入攻击语句。实验表明,该混合防御模块能对web站点的注入漏洞进行有效防护,提升了web应用安全性能。     

长江黄金邮轮网站的安全设计

长江黄金系列邮轮陆续下水,越来越多的国内外游客将体验长江黄金系列邮轮带来的旅游价值.其邮轮网站将在企业宣传和票务营销方面发挥更加突出的作用,网站安全设计至关重要.通过对当前网站安全隐患的分析,描述了解决网页内容免受黑客木马攻击的替换算法,并给出对应程序段;改进了口令认证方式,并指出MD5加密能够提高数据库的安全性;提出了程序验证方式,能够有效防御SQL注入式攻击在用户身份认证时发生.该网站的安全设计可为类似网站建设提供参考意见.     

基于时间Petri网的渗透测试攻击模型研究

针对攻击模型会因为描述的攻击参数不完备,导致实际应用价值降低的问题,提出一种以漏洞为基本粒度,基于时间Petri网的渗透测试攻击模型及构建方法. 该方法对已知漏洞列表构建单漏洞利用模型,通过整合形成渗透测试攻击模型,并提供快速和稳定的漏洞利用方案选择算法,获得相应攻击方案,以及完成一次渗透攻击所需最短时间. 实验结果表明,该模型及算法可以有效地描述攻击时间和攻击稳定性,可实际应用于渗透测试.      

长江黄金邮轮网站的安全设计

长江黄金系列邮轮陆续下水,越来越多的国内外游客将体验长江黄金系列邮轮带来的旅游价值.其邮轮网站将在企业宣传和票务营销方面发挥更加突出的作用,网站安全设计至关重要.通过对当前网站安全隐患的分析,描述了解决网页内容免受黑客木马攻击的替换算法,并给出对应程序段;改进了口令认证方式,并指出MD5加密能够提高数据库的安全性;提出...     

选课管理系统的安全分析与防范研究

为了建设信息化校园,开发了一种公共选修课选课管理系统．该系统基于B／S三层结构和．NET技术开发．不仅能满足目前全院师生的选课和管理需求,还能针对穷举攻击、SQL注入攻击、XSS跨站攻击和文件上传攻击等常见的Web攻击进行防御和容忍,通过了多次公开测试,在2013年6月进行的全院师生网络选课的考验中表现良好．本文着重研究该系统的安全问题．实践证明,该系统基本性能良好,安全性较好．     

一种轻量级的服务端防SQL注入攻击方法

SQL注入攻击是针对基于数据库的网站和信息系统的一种常见攻击。通过非法的输入,攻击者可以绕开验证、非法获取内容甚至篡改系统数据。通常在客户端的验证可以被攻击者用跳过输入界面直接提交非法数据的方法攻击;而服务端的验证又会严重消耗服务器的资源。为了克服上述缺陷,通过对注入语句的分析,提出了一种轻量级的服务端验证方法,用文本挖掘的方法取得最不常见的字符串替换掉输入中的少数字符以阻止SQL注入攻击,同时最小化服务器用于验证输入合法性的资源。     

面向用户意图的SQL注入检测方法

Web程序安全的首要威胁是SQL注入攻击,动态分析技术可有效防御此类攻击.提出面向用户意图的检测方法,在程序发布前预先定义Web程序期望的所有数据库操作,在运行时拦截提交至数据库的操作,阻止不符合意图的操作.设计并实现描述数据库操作意图的语言SQLIDL,将开发者提供的允许操作集合解释为以确定有限自动机(DFA)表示的字符串集合,并支持表名、列名、列值及存储过程名的正则表示.在SecuriBench测试集的实验表明,该方法可有效检测现有SQL攻击模式且运行开销较小.     

网络应用软件的几个安全问题分析

SQL注入、跨站点脚本、跨站点追踪、会话叠置是存在于网络应用层的几个安全问题,它们的共同特点是“遵守”网络标准协议,攻击者通过制造的特定情况来实现攻击.为了避免这种攻击的发生,就必须在开发网络应用程序时,对协议在复杂情况下交互作用进行深入的分析.     

基于攻击树的核电厂DCS系统信息安全脆弱性分析

随着计算机在核电仪控系统中的广泛运用,其信息安全问题受到越来越大的挑战.提出一种基于攻击树的核电仪控系统信息安全脆弱性分析方法,旨在对系统信息安全脆弱性进行量化分析.该方法首先给叶节点赋予三个不同属性,然后采用模糊层次分析法计算各攻击事件属性的权值.最后计算出叶节点、根节点及攻击路径发生概率.实际案例分析表明:计算得出的结果即给出了各节点和攻击路径发生的概率,还指出了攻击者最有可能采取的攻击路径,证明了该方法是合理可行的.基于攻击树的核电仪控系统信息安全脆弱性分析方法对系统管理者建设防御措施有积极的指导意义.     

一种安全登录子系统的设计与实现

针对当前企业信息系统登录方式在安全方面存在的问题和不足,分析了传统登录子系统解决方案中存在穷举攻击和SQL注入等诸多安全漏洞。借鉴B/S与C/S中登录安全技术,提出一种基于加密、验证和漏洞检测的改进方案。详细描述了系统的设计思想、工作原理、总体架构及具体实现方案,为用户提供了一个安全性高、成本低的登录系统解决方案。     

SQL注入数据库攻击与防御技术研究

SQL注入数据库攻击是常见的针对网站数据库的攻击形式,危害非常广.在深入研究SQL注入攻击原理的基础上,探索总结了SQL注入攻击的各种技术方法,最后从应用程序级与系统级分别给出了防御SQL注入攻击的有效措施.     

SQL注入的成因、检测和防范措施的研究

简要介绍SQL注入形成的原因,SQL注入的各种检测方法,并根据防范SQL注入攻击的各种措施,提出客户端和服务器端双重检测模型.