隨著WEB2.0新技術(shù)的出現(xiàn),WEB應(yīng)用在互聯(lián)網(wǎng)各行各業(yè)中快速發(fā)展,應(yīng)用范圍十分廣泛。與此同時WEB應(yīng)用也面臨著日趨復(fù)雜的安全威脅,其中注入漏洞是影響WEB應(yīng)用安全最重要的漏洞之一,而SQL注入漏洞又是注入漏洞中影響最廣泛、最嚴(yán)重的漏洞。SQL注入攻擊通常是攻擊者將構(gòu)造的惡意語句依附在正常的HTTP請求中,通過驗(yàn)證并被解析執(zhí)行,從而發(fā)生注入攻擊。SQL注入攻擊會造成敏感信息泄漏、WEB應(yīng)用非法訪問等嚴(yán)重后果。根據(jù)SQL注入的產(chǎn)生過程,本文將SQL注入劃分為一階SQL注入漏洞和二階SQL注入漏洞。當(dāng)前對于一階SQL注入漏洞的預(yù)防和檢測方法比較成熟,但對于二階SQL注入漏洞缺少準(zhǔn)確有效的檢測方法。本文通過深入研究SQL注入技術(shù)和原理,總結(jié)了 SQL注入漏洞存在的規(guī)律和特征,將一階SQL注入攻擊和二階SQL注入攻擊過程進(jìn)行細(xì)分,二階SQL注入過程可以抽象為存儲和檢索2個步驟。在深入理解二階SQL注入攻擊原理的基礎(chǔ)上,HTML5客戶端數(shù)據(jù)庫本地存取數(shù)據(jù)的新技術(shù)出現(xiàn),并根據(jù)其離線更新的機(jī)制,發(fā)現(xiàn)一種新類型二階SQL注入漏洞,將其稱為二階異步SQL注入漏洞。通過數(shù)據(jù)項(xiàng)將二階SQL注入漏洞2個步驟關(guān)... 

【文章來源】：山東大學(xué)山東省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：58 頁

【學(xué)位級別】：碩士

【部分圖文】：

圖２－１?ＷＥＢ應(yīng)用分層圖??

畸形的ＳＱＬ代碼后，插入后的ＳＱＬ代碼仍然會執(zhí)行，語義上并不受影響。植入??式ＳＱＬ注入又分為字符串植入式ＳＱＬ注入和數(shù)字植入式ＳＱＬ注入。植入式ＳＱＬ??注入過程如圖２－２所示。??惡意輸入??原ＳＱ頃詢??？；主入后的ＳＱＬ語句?惡意輸入??圖２－２植入式ＳＱＬ注入過程??①字符串植入式ＳＱＬ注入??下面我們通過一個實(shí)例來了解該類型ＳＱＬ注入的過程。假設(shè)某ＷＥＢ應(yīng)用Ａ??的會員登錄的頁面，需要輸入用戶名和口令后經(jīng)驗(yàn)證才能登錄，而ＷＥＢ應(yīng)用未??對此處的用戶輸入做任何驗(yàn)證。此處請求查詢的ＳＱＬ語句如表２－１所示：??９??

圖２－３注釋符ＳＱＬ注入利用過程??下面介紹具體的利用代碼，本小節(jié)仍然采用上面的ＷＥＢ應(yīng)用Ａ為例，則會員??錄的ＳＱＬ語句代碼如表２－８所示。??表２－８會員登錄ＳＱＬ語句ＬＥＣＴ?＊?ＦＲＯＭ?ｍｅｍｂｅｒｓ?ＷＨＥＲＥ?ｍｅｍｂｅｒＮ?＝‘?［ｘｉｎｇｍｉｎｇ］?’??Ｄ?ｓｔｅｇａｎｏｇｒａｍ＾?４?［ｍｉｍａ］?’??現(xiàn)在將ｏｒ?１＝１；－－”插入到’?ｍｅｍｂｅｒＮ?’字段，注釋掉原來的ＳＱＬ語句的后??分，具體代碼如表２－９所示。??表２－９注釋符利用代碼ＬＥＣＴ?＊?ＦＲＯＭ?ｍｅｍｂｅｒｓ??

【參考文獻(xiàn)】：
碩士論文
[1]SQL注入的自動化檢測技術(shù)研究[D]. 楊高明.電子科技大學(xué) 2015
[2]SQL注入漏洞檢測研究[D]. 劉笑杭.杭州電子科技大學(xué) 2014
[3]多功能SQL注入檢測系統(tǒng)的實(shí)現(xiàn)及攻擊防范方法研究[D]. 劉合葉.北京交通大學(xué) 2009



本文編號：2936205