本文關(guān)鍵詞：基于手工SQL注入的Web滲透測(cè)試技術(shù)研究，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著Internet的普及和計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展，基于Web的三層網(wǎng)絡(luò)架構(gòu)得到了廣泛的應(yīng)用越來(lái)越多的瀏覽器/服務(wù)器（B/S）架構(gòu)的網(wǎng)絡(luò)應(yīng)用出現(xiàn)，也標(biāo)志基于瀏覽器/服務(wù)器的應(yīng)用系統(tǒng)逐漸取代基于客戶端/服務(wù)器架構(gòu)(C/S)的應(yīng)用系統(tǒng)成為主流，廣泛應(yīng)用于小規(guī)模網(wǎng)絡(luò)應(yīng)用軟件和企業(yè)級(jí)管理系統(tǒng)中但由于網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展速度遠(yuǎn)高于網(wǎng)絡(luò)防御技術(shù)的更新速度，加之網(wǎng)絡(luò)編程人員對(duì)程序細(xì)節(jié)的把控不足，致使網(wǎng)絡(luò)攻擊行為泛濫，網(wǎng)絡(luò)應(yīng)用漏洞百出，隨時(shí)威脅著用戶的財(cái)產(chǎn)安全 為了應(yīng)對(duì)日益猖獗的網(wǎng)絡(luò)攻擊行為，網(wǎng)絡(luò)安全工程師運(yùn)用換位思考的方式，提出了一種以攻擊者的身份來(lái)對(duì)網(wǎng)絡(luò)應(yīng)用程序及網(wǎng)絡(luò)架構(gòu)進(jìn)行評(píng)估的方法，，這種方法就是滲透測(cè)試它能夠全面的探測(cè)目標(biāo)網(wǎng)絡(luò)的安全薄弱環(huán)節(jié)，為網(wǎng)絡(luò)管理人員提供詳細(xì)的滲透測(cè)試報(bào)告，對(duì)目標(biāo)網(wǎng)絡(luò)現(xiàn)狀做出評(píng)估，并提供詳盡的升級(jí)加固措施，提高目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全等級(jí)其中，SQL注入攻擊作為一種以攻擊網(wǎng)絡(luò)應(yīng)用的數(shù)據(jù)庫(kù)服務(wù)器達(dá)到破壞網(wǎng)絡(luò)資源或者竊取珍貴數(shù)據(jù)為目的的網(wǎng)絡(luò)攻擊，也是滲透測(cè)試的一種重要方法 本文介紹了滲透測(cè)試的概念與原理，并通過(guò)設(shè)計(jì)對(duì)以Access MySQL MsSQL為數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)應(yīng)用的SQL注入實(shí)驗(yàn)，著重分析了對(duì)以上數(shù)據(jù)庫(kù)的注入方法在分析攻擊方法之后，引入了SQL注入的代碼層防御方法與應(yīng)用層防御設(shè)備——Web應(yīng)用防火墻（簡(jiǎn)稱WAF）最后，本文在傳統(tǒng)的WAF防御SQL注入模塊的基礎(chǔ)上，添加了數(shù)據(jù)庫(kù)選型模塊，使WAF可以對(duì)不同數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)應(yīng)用進(jìn)行針對(duì)性防御
【關(guān)鍵詞】：網(wǎng)絡(luò)安全 Web三層架構(gòu) 滲透測(cè)試 SQL注入攻擊
【學(xué)位授予單位】：中北大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類(lèi)號(hào)】：TP393.08
【目錄】：

• 摘要4-5
• Abstract5-9
• 1 緒論9-14
• 1.1 選題背景9-10
• 1.2 國(guó)內(nèi)外研究現(xiàn)狀10-12
• 1.3 研究意義12-13
• 1.4 章節(jié)設(shè)置13-14
• 2 滲透測(cè)試相關(guān)概念與原理14-20
• 2.1 滲透測(cè)試的定義14
• 2.2 進(jìn)行網(wǎng)絡(luò)滲透攻擊的原因14-15
• 2.3 滲透測(cè)試的種類(lèi)15-16
• 2.4 滲透測(cè)試的工作模式16
• 2.5 滲透測(cè)試的工作步驟16-18
• 2.6 滲透攻擊的常用命令及工具匯總18-19
• 2.7 本章小結(jié)19-20
• 3 SQL 注入實(shí)施與技術(shù)應(yīng)用20-38
• 3.1 滲透測(cè)試常用方法——SQL 注入20-23
• 3.1.1 SQL 注入的定義20
• 3.1.2 SQL 注入與數(shù)據(jù)庫(kù)20-21
• 3.1.3 SQL 注入攻擊流行的原因21-22
• 3.1.4 產(chǎn)生 SQL 注入漏洞的原因22-23
• 3.2 SQL 注入的原理23-27
• 3.2.1 Web 三層架構(gòu)及數(shù)據(jù)查詢信息流23-26
• 3.2.2 引發(fā)數(shù)據(jù)庫(kù)語(yǔ)法錯(cuò)誤26-27
• 3.3 SQL 注入的種類(lèi)27
• 3.4 SQL 注入27-37
• 3.4.1 尋找動(dòng)態(tài)提交參數(shù)網(wǎng)頁(yè)27-30
• 3.4.2 提交參數(shù)識(shí)別數(shù)據(jù)庫(kù)信息30-32
• 3.4.3 SQL 注入方法32-37
• 3.4.4 經(jīng)典的“and 1=1”和“and 1=2”邏輯判別法原理37
• 3.5 本章小結(jié)37-38
• 4 對(duì)網(wǎng)站的 SQL 注入實(shí)驗(yàn)38-59
• 4.1 實(shí)驗(yàn)環(huán)境介紹38
• 4.2 實(shí)驗(yàn)過(guò)程及原理38-39
• 4.3 滲透攻擊常用命令介紹39-40
• 4.4 對(duì)基于 ACCESS 網(wǎng)絡(luò)應(yīng)用的注入實(shí)驗(yàn)40-50
• 4.5 對(duì)基于 MySQL 數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)應(yīng)用注入實(shí)驗(yàn)50-54
• 4.6 對(duì)基于 MsSQL 數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)應(yīng)用的注入實(shí)驗(yàn)54-58
• 4.7 本章小結(jié)58-59
• 5 SQL 注入防御技術(shù)分析及實(shí)現(xiàn)59-69
• 5.1 代碼層防護(hù)59-62
• 5.1.1 參數(shù)化 SQL 語(yǔ)句59-60
• 5.1.2 使用輸入限制60-61
• 5.1.3 存儲(chǔ)過(guò)程61-62
• 5.2 應(yīng)用層防護(hù)——Web 應(yīng)用防火墻62-68
• 5.2.1 反向代理63-64
• 5.2.2 HTTP 請(qǐng)求包驗(yàn)證模塊64
• 5.2.3 SQL 防注入模塊64-68
• 5.3 本章小結(jié)68-69
• 6 全文總結(jié)69-70
• 參考文獻(xiàn)70-73
• 研究成果73-74
• 致謝74-75

【參考文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 崔雪冰;王妍玲;;基于URL重寫(xiě)技術(shù)的SQL注入攻擊防御方法[J];河南城建學(xué)院學(xué)報(bào);2009年03期

2 楊成科;;基于正則表達(dá)式的模糊查詢和數(shù)據(jù)匹配驗(yàn)證[J];電腦知識(shí)與技術(shù);2008年29期

3 劉彬;;SQL注入式攻擊分析[J];電腦知識(shí)與技術(shù);2009年14期

4 陳恒濤;張鵑;毛新華;;Web環(huán)境下的SQL注入式攻擊與主動(dòng)防御[J];河南科技學(xué)院學(xué)報(bào)(自然科學(xué)版);2005年04期

5 陳小兵;張漢煜;駱力明;黃河;;SQL注入攻擊及其防范檢測(cè)技術(shù)研究[J];計(jì)算機(jī)工程與應(yīng)用;2007年11期

6 周敬利;王曉鋒;余勝生;夏洪濤;;一種新的反SQL注入策略的研究與實(shí)現(xiàn)[J];計(jì)算機(jī)科學(xué);2006年11期

7 周偉;王麗娜;張煥國(guó);;一種基于樹(shù)結(jié)構(gòu)的網(wǎng)絡(luò)滲透測(cè)試系統(tǒng)[J];計(jì)算機(jī)與數(shù)字工程;2006年12期

8 彭賡;范明鈺;;基于改進(jìn)網(wǎng)絡(luò)爬蟲(chóng)技術(shù)的SQL注入漏洞檢測(cè)[J];計(jì)算機(jī)應(yīng)用研究;2010年07期

9 余靜;高豐;徐良華;朱魯華;;基于SQL注入的滲透性測(cè)試技術(shù)研究[J];計(jì)算機(jī)工程與設(shè)計(jì);2007年15期

10 王云;郭外萍;陳承歡;;Web項(xiàng)目中的SQL注入問(wèn)題研究與防范方法[J];計(jì)算機(jī)工程與設(shè)計(jì);2010年05期

  本文關(guān)鍵詞：基于手工SQL注入的Web滲透測(cè)試技術(shù)研究，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：295945