本文關(guān)鍵詞：基于Web的SQL注入漏洞掃描系統(tǒng)的分析與設(shè)計(jì)，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,基于數(shù)據(jù)庫架構(gòu)和Web技術(shù)的應(yīng)用系統(tǒng)已日趨流行,并在企業(yè)內(nèi)的業(yè)務(wù)系統(tǒng)中得到廣泛的應(yīng)用。由于Web應(yīng)用本身帶有天然的缺陷,使其很容易受到外界攻擊。為了抵御越來越嚴(yán)重的安全風(fēng)險(xiǎn),專家們也積極研究新的防范措施。Web安全滲透測試技術(shù)就是一種效果良好的防范技術(shù),該技術(shù)是完全模擬黑客的手段對Web應(yīng)用系統(tǒng)進(jìn)行攻擊探測。通常攻擊者有多種手段對Web應(yīng)用實(shí)施攻擊,SQL注入攻擊是最常見且危害較大的一種,至少有70%的Web站點(diǎn)存在SQL注入漏洞。這些漏洞不僅威脅到數(shù)據(jù)庫信息,還對系統(tǒng)和用戶信息造成威脅。因此,做好相關(guān)的入侵檢測和防范工作是保證Web應(yīng)用系統(tǒng)和整個(gè)信息基礎(chǔ)設(shè)施安全的關(guān)鍵。由于目前存在的SQL注入檢測大都是基于語法分析的策略,這種策略的檢測效率較低,并且現(xiàn)有的SQL注入漏洞掃描系統(tǒng)也普遍存在對漏洞的掃描不夠全面等缺陷,本文針對以上問題具體做了以下工作。1、通過研究SQL注入漏洞相關(guān)的防御和檢測技術(shù),利用本地搭建好的實(shí)驗(yàn)環(huán)境,以Pubs數(shù)據(jù)庫為例子結(jié)合多種滲透手法進(jìn)行SQL注入實(shí)驗(yàn),在手工SQL注入的基礎(chǔ)上又介紹了工具注入的原理,并總結(jié)了手工注入和工具注入的特點(diǎn)和異同。2、根據(jù)SQL注入攻擊的特點(diǎn),提出了4種具體的防御措施,為SQL注入漏洞檢測方法提供了參考。實(shí)驗(yàn)證明使用這些防御措施的Web應(yīng)用系統(tǒng)可以防范絕大多數(shù)的SQL注入攻擊,并且對Web應(yīng)用系統(tǒng)中出現(xiàn)的SQL注入點(diǎn)也有較好的識(shí)別效果。3、根據(jù)SQL注入攻防的實(shí)驗(yàn)理論,設(shè)計(jì)了一個(gè)SQL注入漏洞掃描系統(tǒng),此系統(tǒng)掃描算法采用樹模型結(jié)構(gòu),并運(yùn)用正則規(guī)則改進(jìn)了傳統(tǒng)的提取URL的方法,使從HTML字符串中提取出的URL為絕對路徑,系統(tǒng)還引入了多線程技術(shù),通過實(shí)驗(yàn)證明該系統(tǒng)能有效的檢測出網(wǎng)絡(luò)站點(diǎn)存在的SQL注入漏洞。
【關(guān)鍵詞】：Web應(yīng)用 滲透測試 SQL注入 漏洞掃描
【學(xué)位授予單位】：陜西師范大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP393.08
【目錄】：

• 摘要3-4
• Abstract4-9
• 第1章 緒論9-15
• 1.1 選題背景與研究意義9-10
• 1.2 國內(nèi)外研究現(xiàn)狀10-13
• 1.2.1 國內(nèi)研究現(xiàn)狀10-12
• 1.2.2 國外研究現(xiàn)狀12
• 1.2.3 目前主要的SQL注入漏洞掃描工具12-13
• 1.3 主要研究目標(biāo)和內(nèi)容13-14
• 1.4 論文結(jié)構(gòu)與安排14-15
• 第2章 Web滲透測試和SQL注入攻擊相關(guān)理論15-25
• 2.1 Web滲透測試15-20
• 2.1.1 Web滲透測試的概念15
• 2.1.2 滲透測試分類15-17
• 2.1.3 深入分析滲透測試的原理17-20
• 2.2 SQL注入攻擊20-24
• 2.2.1 什么是SQL注入攻擊20
• 2.2.2 SQL注入實(shí)現(xiàn)原理20-21
• 2.2.3 SQL注入攻擊的種類21-23
• 2.2.4 可能導(dǎo)致SQL注入的隱患23
• 2.2.5 SQL注入的特點(diǎn)和主要危害23-24
• 2.3 小結(jié)24-25
• 第3章 SQL注入漏洞攻擊與防御25-43
• 3.1 測試環(huán)境搭建25-26
• 3.1.1 測試環(huán)境組成25
• 3.1.2 測試環(huán)境介紹25-26
• 3.2 尋找SQL注入點(diǎn)實(shí)施滲透26-27
• 3.3 手工注入測試27-32
• 3.3.1 手工注入測試流程27-28
• 3.3.2 利用恒等式注入攻擊28-31
• 3.3.3 猜解表名31-32
• 3.4 工具注入測試32-35
• 3.4.1 工具注入流程32-33
• 3.4.2 HDSI3.0工具注入流程33-35
• 3.5 SQL注入攻擊的防御35-42
• 3.5.1 通過正則表達(dá)校驗(yàn)用戶輸入36-38
• 3.5.2 通過參數(shù)化存儲(chǔ)過程進(jìn)行數(shù)據(jù)查詢存取38-39
• 3.5.3 參數(shù)化SQL語句39-40
• 3.5.4 添加新架構(gòu)40-42
• 3.6 小結(jié)42-43
• 第4章 SQL注入漏洞掃描系統(tǒng)的設(shè)計(jì)43-53
• 4.1 系統(tǒng)功能需求分析43-44
• 4.2 實(shí)現(xiàn)思路及關(guān)鍵技術(shù)44-46
• 4.2.1 建立掃描模型45-46
• 4.2.2 設(shè)計(jì)掃描算法46
• 4.3 從HTML字符串中提取URL鏈接46-48
• 4.3.1 通過編碼獲得HTML字符串47-48
• 4.3.2 傳統(tǒng)方法提取字符串中的URL48
• 4.4 提取URL方法的改進(jìn)48-49
• 4.5 測試系統(tǒng)使用效果49-51
• 4.5.1 系統(tǒng)實(shí)驗(yàn)驗(yàn)證49-50
• 4.5.2 實(shí)驗(yàn)效果對比50-51
• 4.6 小結(jié)51-53
• 第5章 總結(jié)與展望53-55
• 5.1 本文所做工作53
• 5.2 研究與展望53-55
• 參考文獻(xiàn)55-59
• 致謝59-61
• 攻讀碩士期間的研究成果61

【相似文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前10條

1 ;啟明星辰推出新一代漏洞掃描產(chǎn)品[J];信息網(wǎng)絡(luò)安全;2003年11期

2 盧錚;分布式漏洞掃描技術(shù)與系統(tǒng)[J];信息網(wǎng)絡(luò)安全;2005年09期

3 趙燕;;漏洞掃描技術(shù)淺析[J];內(nèi)蒙古水利;2011年03期

4 朱健華;;淺析信息化建設(shè)中的安全漏洞掃描技術(shù)[J];中國科技投資;2012年27期

5 吳宏勝;淺析分布式漏洞掃描系統(tǒng)[J];信息網(wǎng)絡(luò)安全;2005年04期

6 段丹青;陳松喬;楊衛(wèi)平;;融合漏洞掃描的入侵檢測系統(tǒng)模型的研究[J];計(jì)算機(jī)技術(shù)與發(fā)展;2006年05期

7 陳東紅;王震宇;鄧承志;;分布式漏洞掃描系統(tǒng)的設(shè)計(jì)[J];信息工程大學(xué)學(xué)報(bào);2006年02期

8 夏潔武;郭晨;;一個(gè)基于漏洞掃描的安全中間件架構(gòu)設(shè)計(jì)[J];微計(jì)算機(jī)信息;2007年12期

9 段丹青;陳松喬;楊衛(wèi)平;;漏洞掃描與入侵檢測聯(lián)動(dòng)系統(tǒng)的研究[J];計(jì)算機(jī)應(yīng)用研究;2007年07期

10 李為;;談系統(tǒng)漏洞掃描[J];天津職業(yè)院校聯(lián)合學(xué)報(bào);2007年05期

中國重要會(huì)議論文全文數(shù)據(jù)庫 前10條

1 于磊;屈樊;吳禮發(fā);;漏洞掃描技術(shù)研究[A];2007通信理論與技術(shù)新發(fā)展——第十二屆全國青年通信學(xué)術(shù)會(huì)議論文集（上冊）[C];2007年

2 龔小剛;;網(wǎng)絡(luò)漏洞掃描技術(shù)研究[A];中國電子學(xué)會(huì)第十七屆信息論學(xué)術(shù)年會(huì)論文集[C];2010年

3 王琦;;漏洞掃描等工具在安全評估中的作用[A];中國信息協(xié)會(huì)信息安全專業(yè)委員會(huì)年會(huì)文集[C];2004年

4 李鋒;馮珊;魏瑩;周凱波;;基于移動(dòng)智能體技術(shù)的漏洞掃描系統(tǒng)模型[A];西部開發(fā)與系統(tǒng)工程——中國系統(tǒng)工程學(xué)會(huì)第12屆年會(huì)論文集[C];2002年

5 李建安;谷利澤;楊義先;;漏洞掃描與補(bǔ)丁管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A];第一屆中國高校通信類院系學(xué)術(shù)研討會(huì)論文集[C];2007年

6 李鋒;陶蘭;;天成網(wǎng)絡(luò)安全衛(wèi)士系統(tǒng)的設(shè)計(jì)和開發(fā)[A];Java技術(shù)及應(yīng)用的進(jìn)展——第八屆中國Java技術(shù)及應(yīng)用交流大會(huì)文集[C];2005年

7 王佳生;;政務(wù)信息網(wǎng)的安全保障體系[A];黑龍江省通信學(xué)會(huì)學(xué)術(shù)年會(huì)論文集[C];2005年

8 范淵;;Web應(yīng)用風(fēng)險(xiǎn)掃描的研究與應(yīng)用[A];全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集·第二十五卷[C];2010年

9 彭亮;卓新建;黃瑋;范文慶;;基于網(wǎng)絡(luò)爬蟲的XSS漏洞掃描系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A];第十三屆中國科協(xié)年會(huì)第11分會(huì)場-中國智慧城市論壇論文集[C];2011年

10 孟江橋;李愛平;;基于Metasploit加載Nessus的漏洞掃描技術(shù)實(shí)現(xiàn)[A];第27次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2012年

中國重要報(bào)紙全文數(shù)據(jù)庫 前10條

1 楊亮;當(dāng)前網(wǎng)絡(luò)漏洞掃描產(chǎn)品市場初探[N];大眾科技報(bào);2005年

2 羅韓琦;網(wǎng)絡(luò)漏洞掃描產(chǎn)品市場前景看好[N];中國高新技術(shù)產(chǎn)業(yè)導(dǎo)報(bào);2005年

3 羅韓琦;網(wǎng)絡(luò)漏洞掃描市場 技術(shù)與服務(wù)并重[N];中國高新技術(shù)產(chǎn)業(yè)導(dǎo)報(bào);2005年

4 ;啟明星辰推出分布式漏洞掃描系統(tǒng)[N];中國計(jì)算機(jī)報(bào);2003年

5 ;為彌補(bǔ)系統(tǒng)漏洞出力[N];網(wǎng)絡(luò)世界;2004年

6 劉金光;使用漏洞掃描工具有效防范蠕蟲病毒[N];中國電腦教育報(bào);2004年

7 ;金睛火眼尋蟻穴[N];網(wǎng)絡(luò)世界;2005年

8 楊金龍;福建榕基提升“堵漏”新標(biāo)準(zhǔn)[N];中國企業(yè)報(bào);2005年

9 齊文泉 鐘山 楊冀龍;查找弱點(diǎn) 防患未然[N];計(jì)算機(jī)世界;2005年

10 ;首創(chuàng)網(wǎng)絡(luò)出臺(tái)新舉措[N];科技日報(bào);2001年

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前10條

1 占善華;分布式漏洞掃描模型研究與應(yīng)用[D];廣東工業(yè)大學(xué);2013年

2 吳倩倩;綜合型漏洞掃描系統(tǒng)的研究與設(shè)計(jì)[D];華北電力大學(xué);2015年

3 張楠;Web應(yīng)用安全漏洞掃描技術(shù)研究[D];浙江大學(xué);2015年

4 解華俊;SQL注入攻擊掃描分析工具的實(shí)現(xiàn)與攻擊防范技術(shù)研究[D];南京郵電大學(xué);2015年

5 曹龍虎;oVirt-KVM桌面云漏掃系統(tǒng)的研究與設(shè)計(jì)[D];電子科技大學(xué);2016年

6 王琪;面向Web應(yīng)用的漏洞掃描技術(shù)研究[D];南京郵電大學(xué);2016年

7 冉世偉;基于Masscan漏洞掃描技術(shù)的研究[D];南開大學(xué);2016年

8 趙書博;基于OpenVAS的漏洞掃描系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];濟(jì)南大學(xué);2016年

9 王博瑞;分布式漏洞掃描系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];西安電子科技大學(xué);2015年

10 李瑞;基于OpenVAS的漏洞掃描系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];西安電子科技大學(xué);2015年

  本文關(guān)鍵詞：基于Web的SQL注入漏洞掃描系統(tǒng)的分析與設(shè)計(jì)，，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：281772