【摘要】：提出了一種基于靜態(tài)分析的SQL注入攻擊的檢測方法。靜態(tài)分析Web應(yīng)用程序的源文件,提取污染源到執(zhí)行參數(shù)的構(gòu)造路徑,形成檢測規(guī)則。動態(tài)執(zhí)行時替換規(guī)則中的輸入?yún)?shù)為用戶輸入值,比較得到的SQL語句和原SQL語句在語義和結(jié)構(gòu)上的異同,判斷是否存在SQL注入攻擊。實驗結(jié)果表明,該方法有效可行,增加了過濾模塊后對系統(tǒng)的性能影響不大。
[Abstract]:A detection method of SQL injection attack based on static analysis is proposed. The source files of Web applications are analyzed statically, and the construction path from source to execution parameters is extracted to form detection rules. The input parameter in the dynamic execution substitution rule is the user input value. Comparing the semantic and structural differences between the SQL statement and the original SQL statement, we can judge whether there is SQL injection attack or not. The experimental results show that this method is effective and feasible and has little effect on the performance of the system after adding the filter module.
【作者單位】： 江西師范大學(xué)計算機信息工程學(xué)院;
【基金】：科技部國際合作項目(2010DFA70990)
【分類號】：TP393.08

【參考文獻】

相關(guān)期刊論文 前2條

1 徐陋;姚國祥;;SQL注入攻擊全面預(yù)防辦法及其應(yīng)用[J];微計算機信息;2006年09期

2 文昌辭,王昭順;軟件測試自動化靜態(tài)分析研究[J];計算機工程與設(shè)計;2005年04期

【共引文獻】

相關(guān)期刊論文 前10條

1 管水能;;電子商務(wù)安全實驗室建設(shè)[J];電腦知識與技術(shù);2006年20期

2 張洪星;褚建立;;基于ASP.NET的SQL注入攻擊及防范解決方案[J];電腦知識與技術(shù);2006年35期

3 黃嬋;毛敏;;基于B/S模式下WEB數(shù)據(jù)庫數(shù)據(jù)安全建設(shè)的思考[J];計算機安全;2007年01期

4 馬吉明,韓麗,甘勇;自動機到正規(guī)表達式的重構(gòu)方法研究[J];計算機工程與應(yīng)用;2004年23期

5 陳小兵;張漢煜;駱力明;黃河;;SQL注入攻擊及其防范檢測技術(shù)研究[J];計算機工程與應(yīng)用;2007年11期

6 朱丹楓;趙琛;陳偉;;一種用于測試編譯優(yōu)化的程序控制結(jié)構(gòu)生成算法[J];計算機應(yīng)用研究;2006年06期

7 宋亮,劉廷龍,許敏;PL/0語言編譯機制實現(xiàn)研究[J];計算機工程與設(shè)計;2005年08期

8 余建軍;韓雙霞;黃云龍;;軟件安全性的靜態(tài)分析[J];計算機工程與設(shè)計;2006年08期

9 吳慧韞;李卓群;;基于H模型的軟件測試管理應(yīng)用模型研究[J];計算機工程與設(shè)計;2006年11期

10 譚浩;關(guān)昕;馬力;;性能測試的原理及其自動化工具的實現(xiàn)[J];計算機工程與設(shè)計;2006年19期

相關(guān)會議論文 前2條

1 方舟;王霓虹;;網(wǎng)絡(luò)環(huán)境下SQL注入攻擊常見方法和防御策略研究[A];黑龍江省計算機學(xué)會2007年學(xué)術(shù)交流年會論文集[C];2007年

2 韓江洪;張亞瓊;魏正佳;;腳本語言詞法分析器的狀態(tài)轉(zhuǎn)移圖構(gòu)造[A];計算機技術(shù)與應(yīng)用進展·2007——全國第18屆計算機技術(shù)與應(yīng)用（CACIS）學(xué)術(shù)會議論文集[C];2007年

相關(guān)碩士學(xué)位論文 前10條

1 王萬山;從Java語言到XML語言的轉(zhuǎn)換[D];吉林大學(xué);2005年

2 宋香梅;基于源代碼的隱通道搜索工具的研究及實現(xiàn)[D];江蘇大學(xué);2005年

3 王相懂;軟件靜態(tài)分析自動化工具的研究與實現(xiàn)[D];西安理工大學(xué);2006年

4 董洋溢;網(wǎng)絡(luò)作業(yè)管理系統(tǒng)的研究與實現(xiàn)[D];西北工業(yè)大學(xué);2006年

5 冀佩剛;程序靜態(tài)分析研究[D];蘭州大學(xué);2006年

6 徐劍峰;C-Java自動程序轉(zhuǎn)換系統(tǒng)原型的設(shè)計和實現(xiàn)[D];上海師范大學(xué);2006年

7 劉繼華;基于風(fēng)險的Web應(yīng)用軟件測試方案研究與應(yīng)用[D];太原理工大學(xué);2006年

8 賈宗宣;基于生命周期的軟件自動化測試系統(tǒng)的設(shè)計[D];四川大學(xué);2006年

9 余公平;軟件自動化測試系統(tǒng)的研究與實現(xiàn)[D];上海交通大學(xué);2007年

10 李巖;C++程序的單元測試系統(tǒng)的研究與實現(xiàn)[D];沈陽工業(yè)大學(xué);2007年

【相似文獻】

相關(guān)期刊論文 前10條

1 于翔;閻宏印;劉泳;;網(wǎng)絡(luò)數(shù)據(jù)庫安全初探[J];科技情報開發(fā)與經(jīng)濟;2007年10期

2 魏斌峰;謝曉燕;;SQL注入攻擊剖析[J];科技廣場;2007年09期

3 步山岳;沈益彬;;校園網(wǎng)漏洞檢測與防范[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2008年02期

4 張景文;;基于ASP的教育網(wǎng)站安全策略分析[J];廣州航海高等專科學(xué)校學(xué)報;2009年02期

5 韓盛定;張鑒新;;SQL注入式攻擊的原理與防御[J];信息與電腦(理論版);2009年11期

6 葛昕;楊小東;岳敏楠;;基于.NET的信息系統(tǒng)SQL注入防御研究[J];中國教育信息化;2010年13期

7 李曉輝;;ASP網(wǎng)站安全性探析[J];信息與電腦(理論版);2010年11期

8 孫茜;宮云戰(zhàn);楊朝紅;;基于靜態(tài)檢測的程序安全漏洞測試[J];北京化工大學(xué)學(xué)報(自然科學(xué)版);2007年S1期

9 李吉;王雷;;C程序緩沖區(qū)溢出漏洞精確檢測方法[J];北京航空航天大學(xué)學(xué)報;2008年03期

10 石穎;孔巧;;SQL注入攻擊與防護措施研究[J];電腦知識與技術(shù);2009年04期

相關(guān)會議論文 前5條

1 李毅;顧健;顧鐵軍;;系統(tǒng)等級保護中的Web應(yīng)用安全評估[A];全國計算機安全學(xué)術(shù)交流會論文集（第二十四卷）[C];2009年

2 方舟;王霓虹;;網(wǎng)絡(luò)環(huán)境下SQL注入攻擊常見方法和防御策略研究[A];黑龍江省計算機學(xué)會2007年學(xué)術(shù)交流年會論文集[C];2007年

3 陳時敏;韓心慧;;基于機器學(xué)習(xí)的網(wǎng)頁木馬識別方法研究[A];第26次全國計算機安全學(xué)術(shù)交流會論文集[C];2011年

4 楊衛(wèi)軍;張舒;胡光俊;;基于攻擊樹模型的木馬檢測方法[A];第26次全國計算機安全學(xué)術(shù)交流會論文集[C];2011年

5 梁興開;趙澤茂;黃亮;;Web應(yīng)用中的ReDoS檢測方法研究[A];浙江省電子學(xué)會2011學(xué)術(shù)年會論文集[C];2011年

相關(guān)重要報紙文章 前1條

1 張琳;本土化防護迫在眉睫[N];網(wǎng)絡(luò)世界;2007年

相關(guān)博士學(xué)位論文 前3條

1 王祥根;自修改代碼逆向分析方法研究[D];中國科學(xué)技術(shù)大學(xué);2009年

2 夏一民;緩沖區(qū)溢出漏洞的靜態(tài)檢測方法研究[D];國防科學(xué)技術(shù)大學(xué);2007年

3 楊學(xué)紅;BPEL流程的故障模式及其靜態(tài)分析技術(shù)的研究[D];北京郵電大學(xué);2011年

相關(guān)碩士學(xué)位論文 前10條

1 陳明輝;緩沖區(qū)溢出漏洞的測試方法研究[D];中國科學(xué)技術(shù)大學(xué);2009年

2 張超;COM組件棧緩沖區(qū)溢出漏洞檢測技術(shù)研究[D];華中科技大學(xué);2008年

3 許社村;基于特征分析的緩沖區(qū)溢出發(fā)現(xiàn)技術(shù)研究[D];哈爾濱工業(yè)大學(xué);2006年

4 任凱鋒;緩沖區(qū)溢出和SQL注入的滲透測試[D];太原理工大學(xué);2006年

5 沈壽忠;基于網(wǎng)絡(luò)爬蟲的SQL注入與XSS漏洞挖掘[D];西安電子科技大學(xué);2009年

6 華景煜;基于靜態(tài)分析的異常檢測研究[D];大連理工大學(xué);2009年

7 朱斌;網(wǎng)絡(luò)數(shù)據(jù)庫的加密技術(shù)研究與應(yīng)用[D];西安科技大學(xué);2009年

8 徐欣民;一種緩沖區(qū)溢出漏洞自動挖掘及漏洞定位技術(shù)[D];華中科技大學(xué);2008年

9 朱愛宇;基于.NET架構(gòu)的影音網(wǎng)站開發(fā)[D];山東大學(xué);2006年

10 卜英奇;網(wǎng)站安全技術(shù)的分析及應(yīng)用[D];吉林大學(xué);2007年

，

本文編號：2129256