本文關鍵詞：基于Web的SQL注入漏洞掃描系統(tǒng)的分析與設計，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著計算機網(wǎng)絡技術的發(fā)展,基于數(shù)據(jù)庫架構(gòu)和Web技術的應用系統(tǒng)已日趨流行,并在企業(yè)內(nèi)的業(yè)務系統(tǒng)中得到廣泛的應用。由于Web應用本身帶有天然的缺陷,使其很容易受到外界攻擊。為了抵御越來越嚴重的安全風險,專家們也積極研究新的防范措施。Web安全滲透測試技術就是一種效果良好的防范技術,該技術是完全模擬黑客的手段對Web應用系統(tǒng)進行攻擊探測。通常攻擊者有多種手段對Web應用實施攻擊,SQL注入攻擊是最常見且危害較大的一種,至少有70%的Web站點存在SQL注入漏洞。這些漏洞不僅威脅到數(shù)據(jù)庫信息,還對系統(tǒng)和用戶信息造成威脅。因此,做好相關的入侵檢測和防范工作是保證Web應用系統(tǒng)和整個信息基礎設施安全的關鍵。由于目前存在的SQL注入檢測大都是基于語法分析的策略,這種策略的檢測效率較低,并且現(xiàn)有的SQL注入漏洞掃描系統(tǒng)也普遍存在對漏洞的掃描不夠全面等缺陷,本文針對以上問題具體做了以下工作。1、通過研究SQL注入漏洞相關的防御和檢測技術,利用本地搭建好的實驗環(huán)境,以Pubs數(shù)據(jù)庫為例子結(jié)合多種滲透手法進行SQL注入實驗,在手工SQL注入的基礎上又介紹了工具注入的原理,并總結(jié)了手工注入和工具注入的特點和異同。2、根據(jù)SQL注入攻擊的特點,提出了4種具體的防御措施,為SQL注入漏洞檢測方法提供了參考。實驗證明使用這些防御措施的Web應用系統(tǒng)可以防范絕大多數(shù)的SQL注入攻擊,并且對Web應用系統(tǒng)中出現(xiàn)的SQL注入點也有較好的識別效果。3、根據(jù)SQL注入攻防的實驗理論,設計了一個SQL注入漏洞掃描系統(tǒng),此系統(tǒng)掃描算法采用樹模型結(jié)構(gòu),并運用正則規(guī)則改進了傳統(tǒng)的提取URL的方法,使從HTML字符串中提取出的URL為絕對路徑,系統(tǒng)還引入了多線程技術,通過實驗證明該系統(tǒng)能有效的檢測出網(wǎng)絡站點存在的SQL注入漏洞。
【關鍵詞】：Web應用 滲透測試 SQL注入 漏洞掃描
【學位授予單位】：陜西師范大學
【學位級別】：碩士
【學位授予年份】：2016
【分類號】：TP393.08
【目錄】：

• 摘要3-4
• Abstract4-9
• 第1章 緒論9-15
• 1.1 選題背景與研究意義9-10
• 1.2 國內(nèi)外研究現(xiàn)狀10-13
• 1.2.1 國內(nèi)研究現(xiàn)狀10-12
• 1.2.2 國外研究現(xiàn)狀12
• 1.2.3 目前主要的SQL注入漏洞掃描工具12-13
• 1.3 主要研究目標和內(nèi)容13-14
• 1.4 論文結(jié)構(gòu)與安排14-15
• 第2章 Web滲透測試和SQL注入攻擊相關理論15-25
• 2.1 Web滲透測試15-20
• 2.1.1 Web滲透測試的概念15
• 2.1.2 滲透測試分類15-17
• 2.1.3 深入分析滲透測試的原理17-20
• 2.2 SQL注入攻擊20-24
• 2.2.1 什么是SQL注入攻擊20
• 2.2.2 SQL注入實現(xiàn)原理20-21
• 2.2.3 SQL注入攻擊的種類21-23
• 2.2.4 可能導致SQL注入的隱患23
• 2.2.5 SQL注入的特點和主要危害23-24
• 2.3 小結(jié)24-25
• 第3章 SQL注入漏洞攻擊與防御25-43
• 3.1 測試環(huán)境搭建25-26
• 3.1.1 測試環(huán)境組成25
• 3.1.2 測試環(huán)境介紹25-26
• 3.2 尋找SQL注入點實施滲透26-27
• 3.3 手工注入測試27-32
• 3.3.1 手工注入測試流程27-28
• 3.3.2 利用恒等式注入攻擊28-31
• 3.3.3 猜解表名31-32
• 3.4 工具注入測試32-35
• 3.4.1 工具注入流程32-33
• 3.4.2 HDSI3.0工具注入流程33-35
• 3.5 SQL注入攻擊的防御35-42
• 3.5.1 通過正則表達校驗用戶輸入36-38
• 3.5.2 通過參數(shù)化存儲過程進行數(shù)據(jù)查詢存取38-39
• 3.5.3 參數(shù)化SQL語句39-40
• 3.5.4 添加新架構(gòu)40-42
• 3.6 小結(jié)42-43
• 第4章 SQL注入漏洞掃描系統(tǒng)的設計43-53
• 4.1 系統(tǒng)功能需求分析43-44
• 4.2 實現(xiàn)思路及關鍵技術44-46
• 4.2.1 建立掃描模型45-46
• 4.2.2 設計掃描算法46
• 4.3 從HTML字符串中提取URL鏈接46-48
• 4.3.1 通過編碼獲得HTML字符串47-48
• 4.3.2 傳統(tǒng)方法提取字符串中的URL48
• 4.4 提取URL方法的改進48-49
• 4.5 測試系統(tǒng)使用效果49-51
• 4.5.1 系統(tǒng)實驗驗證49-50
• 4.5.2 實驗效果對比50-51
• 4.6 小結(jié)51-53
• 第5章 總結(jié)與展望53-55
• 5.1 本文所做工作53
• 5.2 研究與展望53-55
• 參考文獻55-59
• 致謝59-61
• 攻讀碩士期間的研究成果61

【相似文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 ;啟明星辰推出新一代漏洞掃描產(chǎn)品[J];信息網(wǎng)絡安全;2003年11期

2 盧錚;分布式漏洞掃描技術與系統(tǒng)[J];信息網(wǎng)絡安全;2005年09期

3 趙燕;;漏洞掃描技術淺析[J];內(nèi)蒙古水利;2011年03期

4 朱健華;;淺析信息化建設中的安全漏洞掃描技術[J];中國科技投資;2012年27期

5 吳宏勝;淺析分布式漏洞掃描系統(tǒng)[J];信息網(wǎng)絡安全;2005年04期

6 段丹青;陳松喬;楊衛(wèi)平;;融合漏洞掃描的入侵檢測系統(tǒng)模型的研究[J];計算機技術與發(fā)展;2006年05期

7 陳東紅;王震宇;鄧承志;;分布式漏洞掃描系統(tǒng)的設計[J];信息工程大學學報;2006年02期

8 夏潔武;郭晨;;一個基于漏洞掃描的安全中間件架構(gòu)設計[J];微計算機信息;2007年12期

9 段丹青;陳松喬;楊衛(wèi)平;;漏洞掃描與入侵檢測聯(lián)動系統(tǒng)的研究[J];計算機應用研究;2007年07期

10 李為;;談系統(tǒng)漏洞掃描[J];天津職業(yè)院校聯(lián)合學報;2007年05期

中國重要會議論文全文數(shù)據(jù)庫 前10條

1 于磊;屈樊;吳禮發(fā);;漏洞掃描技術研究[A];2007通信理論與技術新發(fā)展——第十二屆全國青年通信學術會議論文集（上冊）[C];2007年

2 龔小剛;;網(wǎng)絡漏洞掃描技術研究[A];中國電子學會第十七屆信息論學術年會論文集[C];2010年

3 王琦;;漏洞掃描等工具在安全評估中的作用[A];中國信息協(xié)會信息安全專業(yè)委員會年會文集[C];2004年

4 李鋒;馮珊;魏瑩;周凱波;;基于移動智能體技術的漏洞掃描系統(tǒng)模型[A];西部開發(fā)與系統(tǒng)工程——中國系統(tǒng)工程學會第12屆年會論文集[C];2002年

5 李建安;谷利澤;楊義先;;漏洞掃描與補丁管理系統(tǒng)的設計與實現(xiàn)[A];第一屆中國高校通信類院系學術研討會論文集[C];2007年

6 李鋒;陶蘭;;天成網(wǎng)絡安全衛(wèi)士系統(tǒng)的設計和開發(fā)[A];Java技術及應用的進展——第八屆中國Java技術及應用交流大會文集[C];2005年

7 王佳生;;政務信息網(wǎng)的安全保障體系[A];黑龍江省通信學會學術年會論文集[C];2005年

8 范淵;;Web應用風險掃描的研究與應用[A];全國計算機安全學術交流會論文集·第二十五卷[C];2010年

9 彭亮;卓新建;黃瑋;范文慶;;基于網(wǎng)絡爬蟲的XSS漏洞掃描系統(tǒng)的設計與實現(xiàn)[A];第十三屆中國科協(xié)年會第11分會場-中國智慧城市論壇論文集[C];2011年

10 孟江橋;李愛平;;基于Metasploit加載Nessus的漏洞掃描技術實現(xiàn)[A];第27次全國計算機安全學術交流會論文集[C];2012年

中國重要報紙全文數(shù)據(jù)庫 前10條

1 楊亮;當前網(wǎng)絡漏洞掃描產(chǎn)品市場初探[N];大眾科技報;2005年

2 羅韓琦;網(wǎng)絡漏洞掃描產(chǎn)品市場前景看好[N];中國高新技術產(chǎn)業(yè)導報;2005年

3 羅韓琦;網(wǎng)絡漏洞掃描市場 技術與服務并重[N];中國高新技術產(chǎn)業(yè)導報;2005年

4 ;啟明星辰推出分布式漏洞掃描系統(tǒng)[N];中國計算機報;2003年

5 ;為彌補系統(tǒng)漏洞出力[N];網(wǎng)絡世界;2004年

6 劉金光;使用漏洞掃描工具有效防范蠕蟲病毒[N];中國電腦教育報;2004年

7 ;金睛火眼尋蟻穴[N];網(wǎng)絡世界;2005年

8 楊金龍;福建榕基提升“堵漏”新標準[N];中國企業(yè)報;2005年

9 齊文泉 鐘山 楊冀龍;查找弱點 防患未然[N];計算機世界;2005年

10 ;首創(chuàng)網(wǎng)絡出臺新舉措[N];科技日報;2001年

中國碩士學位論文全文數(shù)據(jù)庫 前10條

1 占善華;分布式漏洞掃描模型研究與應用[D];廣東工業(yè)大學;2013年

2 吳倩倩;綜合型漏洞掃描系統(tǒng)的研究與設計[D];華北電力大學;2015年

3 張楠;Web應用安全漏洞掃描技術研究[D];浙江大學;2015年

4 解華俊;SQL注入攻擊掃描分析工具的實現(xiàn)與攻擊防范技術研究[D];南京郵電大學;2015年

5 曹龍虎;oVirt-KVM桌面云漏掃系統(tǒng)的研究與設計[D];電子科技大學;2016年

6 王琪;面向Web應用的漏洞掃描技術研究[D];南京郵電大學;2016年

7 冉世偉;基于Masscan漏洞掃描技術的研究[D];南開大學;2016年

8 趙書博;基于OpenVAS的漏洞掃描系統(tǒng)設計與實現(xiàn)[D];濟南大學;2016年

9 王博瑞;分布式漏洞掃描系統(tǒng)的設計與實現(xiàn)[D];西安電子科技大學;2015年

10 李瑞;基于OpenVAS的漏洞掃描系統(tǒng)設計與實現(xiàn)[D];西安電子科技大學;2015年

  本文關鍵詞：基于Web的SQL注入漏洞掃描系統(tǒng)的分析與設計，，由筆耕文化傳播整理發(fā)布。

本文編號：281772