本文關(guān)鍵詞：SQL注入深度檢測(cè)掃描器的設(shè)計(jì)

  更多相關(guān)文章： SQL注入 漏洞檢測(cè) 多線程爬蟲(chóng) 深度檢測(cè) 模擬攻擊

【摘要】：伴隨互聯(lián)網(wǎng)技術(shù)的日新月異和高速發(fā)展，網(wǎng)絡(luò)已逐漸成為了人們?nèi)粘Ｉ钏豢苫蛉钡摹氨匦杵贰�。然而，凡事都有兩面性。網(wǎng)絡(luò)在帶給人們便利生活的同時(shí)，也給惡意攻擊者提供了一個(gè)絕好的犯罪舞臺(tái)�！熬W(wǎng)絡(luò)犯罪”對(duì)大家來(lái)說(shuō)，已不再陌生和遙遠(yuǎn)。網(wǎng)絡(luò)安全已成為了一個(gè)不可忽視的重大問(wèn)題，其中，尤以SQL注入漏洞較為嚴(yán)重。 本文在深入研究SQL注入產(chǎn)生的原理、利用方式、防御措施的前提下，研究和設(shè)計(jì)出了一款專(zhuān)門(mén)用于SQL注入深度掃描的掃描器，其主要階段的處理工作包括： 對(duì)待測(cè)站點(diǎn)的爬蟲(chóng)掃描。本文采用了基于多線程的爬蟲(chóng)，可以很好地提升掃描速度，提高抓取效率。本文所設(shè)計(jì)的爬蟲(chóng)，用java語(yǔ)言編程，從用戶(hù)指定的主頁(yè)開(kāi)始，按照指定的深度抓取該站點(diǎn)域名下的網(wǎng)頁(yè)。為實(shí)現(xiàn)線程同步，調(diào)用synchronized關(guān)鍵字避免線程沖突。當(dāng)掃描結(jié)束時(shí)，爬蟲(chóng)模塊會(huì)在指定文件夾下自動(dòng)生成result.txt文件，記錄掃描結(jié)果。同時(shí)，本文還用到了Hashtable類(lèi)關(guān)聯(lián)數(shù)組，以防止重復(fù)抓取網(wǎng)頁(yè)。 在深度探測(cè)模塊中，本文通過(guò)sleep()和BENCHMARK()函數(shù)，對(duì)不確定是否存在SQL注入的頁(yè)面進(jìn)行延時(shí)注入檢測(cè)。如果存在SQL注入，則用戶(hù)輸入會(huì)被Web應(yīng)用程序執(zhí)行。具體到該模塊，則是sleep()和BENCHMARK()函數(shù)會(huì)被應(yīng)用程序執(zhí)行，執(zhí)行的結(jié)果將是頁(yè)面返回時(shí)間存在延遲，即可證明該頁(yè)面確實(shí)可以進(jìn)行注入。本文即是采用延時(shí)注入的方法，將經(jīng)過(guò)普通SQL注入檢測(cè)模塊未檢測(cè)出存在注入的頁(yè)面再檢測(cè)一遍，以達(dá)到降低漏報(bào)率的目的。 在模擬攻擊模塊，本文通過(guò)字典暴破、查看和分析頁(yè)面返回的錯(cuò)誤信息、逐位猜解的方式對(duì)已檢測(cè)出存在注入漏洞的站點(diǎn)進(jìn)行模擬攻擊。通過(guò)模擬黑客攻擊，對(duì)SQL注入漏洞做一個(gè)漏洞高危級(jí)別判定。 經(jīng)實(shí)驗(yàn)證明，本文設(shè)計(jì)實(shí)現(xiàn)的這款SQL注入深度檢測(cè)掃描器不僅掃描速度快，而且通過(guò)增加深度掃描模塊，降低了漏報(bào)率；并在此基礎(chǔ)上，幫助滲透測(cè)試員理解SQL注入漏洞可能造成的危害，加強(qiáng)程序員的安全防護(hù)意識(shí)。
【關(guān)鍵詞】：SQL注入 漏洞檢測(cè) 多線程爬蟲(chóng) 深度檢測(cè) 模擬攻擊
【學(xué)位授予單位】：哈爾濱理工大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類(lèi)號(hào)】：TP393.08
【目錄】：

• 摘要5-6
• Abstract6-10
• 第1章 緒論10-16
• 1.1 課題的背景及研究的目的和意義10-12
• 1.2 國(guó)內(nèi)外研究現(xiàn)狀12-15
• 1.2.1 國(guó)外研究現(xiàn)狀12-14
• 1.2.2 國(guó)內(nèi)研究狀況14-15
• 1.3 本文主要研究?jī)?nèi)容15-16
• 第2章 SQL 注入技術(shù)闡述16-23
• 2.1 SQL 注入概述16-18
• 2.1.1 SQL 注入的概念16
• 2.1.2 SQL 注入產(chǎn)生的原因16-18
• 2.1.3 SQL 注入的特點(diǎn)18
• 2.2 SQL 注入攻擊原理18-22
• 2.2.1 SQL 注入攻擊舉例18-19
• 2.2.2 SQL 手工注入攻擊過(guò)程19-20
• 2.2.3 工具實(shí)施 SQL 注入20-21
• 2.2.4 SQL 注入防御21-22
• 2.3 本章小結(jié)22-23
• 第3章 SQL 注入深度檢測(cè)掃描器的設(shè)計(jì)23-31
• 3.1 現(xiàn)有系統(tǒng)分析比較23-25
• 3.2 主要功能及性能指標(biāo)25-27
• 3.3 軟件設(shè)計(jì)原則27
• 3.4 系統(tǒng)總體設(shè)計(jì)27-29
• 3.5 系統(tǒng)總體流程設(shè)計(jì)29-30
• 3.6 本章小結(jié)30-31
• 第4章 SQL 注入深度深度檢測(cè)掃描器的實(shí)現(xiàn)31-50
• 4.1 爬蟲(chóng)模塊31-36
• 4.1.1 爬蟲(chóng)原理31
• 4.1.2 爬蟲(chóng)的結(jié)構(gòu)框架31
• 4.1.3 爬蟲(chóng)的實(shí)現(xiàn)31-36
• 4.2 普通 SQL 注入檢測(cè)模塊36-39
• 4.2.1 模塊功能36
• 4.2.2 模塊實(shí)現(xiàn)36-39
• 4.3 深度 SQL 注入檢測(cè)模塊39-41
• 4.3.1 模塊功能39
• 4.3.2 模塊實(shí)現(xiàn)39-41
• 4.4 模擬攻擊模塊41-47
• 4.4.1 模塊功能41
• 4.4.2 猜解后臺(tái)數(shù)據(jù)庫(kù)類(lèi)型子模塊41-42
• 4.4.3 猜解數(shù)據(jù)庫(kù)表子模塊42-43
• 4.4.4 猜解表字段子模塊43-44
• 4.4.5 猜解內(nèi)容子模塊44-47
• 4.5 系統(tǒng)測(cè)試47-49
• 4.5.1 測(cè)試環(huán)境47-48
• 4.5.2 測(cè)試實(shí)施48
• 4.5.3 測(cè)試過(guò)程48-49
• 4.6 本章小結(jié)49-50
• 結(jié)論50-51
• 參考文獻(xiàn)51-55
• 攻讀碩士學(xué)位期間所發(fā)表的學(xué)術(shù)論文55-56
• 致謝56

【參考文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 徐嘉銘;;SQL注入攻擊原理及在數(shù)據(jù)庫(kù)安全中的應(yīng)用[J];電腦編程技巧與維護(hù);2009年18期

2 劉帥;;SQL注入攻擊及其防范檢測(cè)技術(shù)的研究[J];電腦知識(shí)與技術(shù);2009年28期

3 李必云;石俊萍;;Web攻擊及安全防護(hù)技術(shù)研究[J];電腦知識(shí)與技術(shù);2009年31期

4 俞小怡;常艷;許捍衛(wèi);;Web應(yīng)用中的攻擊防御技術(shù)的研究與實(shí)現(xiàn)[J];計(jì)算機(jī)安全;2008年06期

5 陳小兵;張漢煜;駱力明;黃河;;SQL注入攻擊及其防范檢測(cè)技術(shù)研究[J];計(jì)算機(jī)工程與應(yīng)用;2007年11期

6 周德懋;李舟軍;;高性能網(wǎng)絡(luò)爬蟲(chóng):研究綜述[J];計(jì)算機(jī)科學(xué);2009年08期

7 趙亭;陸余良;劉金紅;孫宏綱;施凡;;基于表單爬蟲(chóng)的Web漏洞探測(cè)[J];計(jì)算機(jī)工程;2008年09期

8 陳建青;張玉清;;Web跨站腳本漏洞檢測(cè)工具的設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)工程;2010年06期

9 尹江;尹治本;黃洪;;網(wǎng)絡(luò)爬蟲(chóng)效率瓶頸的分析與解決方案[J];計(jì)算機(jī)應(yīng)用;2008年05期

10 楊波,朱秋萍;Web安全技術(shù)綜述[J];計(jì)算機(jī)應(yīng)用研究;2002年10期

，

本文編號(hào)：1087508