本文關鍵詞：基于手工SQL注入的Web滲透測試技術研究，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著Internet的普及和計算機網(wǎng)絡的高速發(fā)展，基于Web的三層網(wǎng)絡架構得到了廣泛的應用越來越多的瀏覽器/服務器（B/S）架構的網(wǎng)絡應用出現(xiàn)，也標志基于瀏覽器/服務器的應用系統(tǒng)逐漸取代基于客戶端/服務器架構(C/S)的應用系統(tǒng)成為主流，廣泛應用于小規(guī)模網(wǎng)絡應用軟件和企業(yè)級管理系統(tǒng)中但由于網(wǎng)絡攻擊技術的發(fā)展速度遠高于網(wǎng)絡防御技術的更新速度，加之網(wǎng)絡編程人員對程序細節(jié)的把控不足，致使網(wǎng)絡攻擊行為泛濫，網(wǎng)絡應用漏洞百出，隨時威脅著用戶的財產(chǎn)安全 為了應對日益猖獗的網(wǎng)絡攻擊行為，網(wǎng)絡安全工程師運用換位思考的方式，提出了一種以攻擊者的身份來對網(wǎng)絡應用程序及網(wǎng)絡架構進行評估的方法，，這種方法就是滲透測試它能夠全面的探測目標網(wǎng)絡的安全薄弱環(huán)節(jié)，為網(wǎng)絡管理人員提供詳細的滲透測試報告，對目標網(wǎng)絡現(xiàn)狀做出評估，并提供詳盡的升級加固措施，提高目標網(wǎng)絡系統(tǒng)的安全等級其中，SQL注入攻擊作為一種以攻擊網(wǎng)絡應用的數(shù)據(jù)庫服務器達到破壞網(wǎng)絡資源或者竊取珍貴數(shù)據(jù)為目的的網(wǎng)絡攻擊，也是滲透測試的一種重要方法 本文介紹了滲透測試的概念與原理，并通過設計對以Access MySQL MsSQL為數(shù)據(jù)庫的網(wǎng)絡應用的SQL注入實驗，著重分析了對以上數(shù)據(jù)庫的注入方法在分析攻擊方法之后，引入了SQL注入的代碼層防御方法與應用層防御設備——Web應用防火墻（簡稱WAF）最后，本文在傳統(tǒng)的WAF防御SQL注入模塊的基礎上，添加了數(shù)據(jù)庫選型模塊，使WAF可以對不同數(shù)據(jù)庫的網(wǎng)絡應用進行針對性防御
【關鍵詞】：網(wǎng)絡安全 Web三層架構 滲透測試 SQL注入攻擊
【學位授予單位】：中北大學
【學位級別】：碩士
【學位授予年份】：2015
【分類號】：TP393.08
【目錄】：

• 摘要4-5
• Abstract5-9
• 1 緒論9-14
• 1.1 選題背景9-10
• 1.2 國內(nèi)外研究現(xiàn)狀10-12
• 1.3 研究意義12-13
• 1.4 章節(jié)設置13-14
• 2 滲透測試相關概念與原理14-20
• 2.1 滲透測試的定義14
• 2.2 進行網(wǎng)絡滲透攻擊的原因14-15
• 2.3 滲透測試的種類15-16
• 2.4 滲透測試的工作模式16
• 2.5 滲透測試的工作步驟16-18
• 2.6 滲透攻擊的常用命令及工具匯總18-19
• 2.7 本章小結19-20
• 3 SQL 注入實施與技術應用20-38
• 3.1 滲透測試常用方法——SQL 注入20-23
• 3.1.1 SQL 注入的定義20
• 3.1.2 SQL 注入與數(shù)據(jù)庫20-21
• 3.1.3 SQL 注入攻擊流行的原因21-22
• 3.1.4 產(chǎn)生 SQL 注入漏洞的原因22-23
• 3.2 SQL 注入的原理23-27
• 3.2.1 Web 三層架構及數(shù)據(jù)查詢信息流23-26
• 3.2.2 引發(fā)數(shù)據(jù)庫語法錯誤26-27
• 3.3 SQL 注入的種類27
• 3.4 SQL 注入27-37
• 3.4.1 尋找動態(tài)提交參數(shù)網(wǎng)頁27-30
• 3.4.2 提交參數(shù)識別數(shù)據(jù)庫信息30-32
• 3.4.3 SQL 注入方法32-37
• 3.4.4 經(jīng)典的“and 1=1”和“and 1=2”邏輯判別法原理37
• 3.5 本章小結37-38
• 4 對網(wǎng)站的 SQL 注入實驗38-59
• 4.1 實驗環(huán)境介紹38
• 4.2 實驗過程及原理38-39
• 4.3 滲透攻擊常用命令介紹39-40
• 4.4 對基于 ACCESS 網(wǎng)絡應用的注入實驗40-50
• 4.5 對基于 MySQL 數(shù)據(jù)庫的網(wǎng)絡應用注入實驗50-54
• 4.6 對基于 MsSQL 數(shù)據(jù)庫的網(wǎng)絡應用的注入實驗54-58
• 4.7 本章小結58-59
• 5 SQL 注入防御技術分析及實現(xiàn)59-69
• 5.1 代碼層防護59-62
• 5.1.1 參數(shù)化 SQL 語句59-60
• 5.1.2 使用輸入限制60-61
• 5.1.3 存儲過程61-62
• 5.2 應用層防護——Web 應用防火墻62-68
• 5.2.1 反向代理63-64
• 5.2.2 HTTP 請求包驗證模塊64
• 5.2.3 SQL 防注入模塊64-68
• 5.3 本章小結68-69
• 6 全文總結69-70
• 參考文獻70-73
• 研究成果73-74
• 致謝74-75

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 崔雪冰;王妍玲;;基于URL重寫技術的SQL注入攻擊防御方法[J];河南城建學院學報;2009年03期

2 楊成科;;基于正則表達式的模糊查詢和數(shù)據(jù)匹配驗證[J];電腦知識與技術;2008年29期

3 劉彬;;SQL注入式攻擊分析[J];電腦知識與技術;2009年14期

4 陳恒濤;張鵑;毛新華;;Web環(huán)境下的SQL注入式攻擊與主動防御[J];河南科技學院學報(自然科學版);2005年04期

5 陳小兵;張漢煜;駱力明;黃河;;SQL注入攻擊及其防范檢測技術研究[J];計算機工程與應用;2007年11期

6 周敬利;王曉鋒;余勝生;夏洪濤;;一種新的反SQL注入策略的研究與實現(xiàn)[J];計算機科學;2006年11期

7 周偉;王麗娜;張煥國;;一種基于樹結構的網(wǎng)絡滲透測試系統(tǒng)[J];計算機與數(shù)字工程;2006年12期

8 彭賡;范明鈺;;基于改進網(wǎng)絡爬蟲技術的SQL注入漏洞檢測[J];計算機應用研究;2010年07期

9 余靜;高豐;徐良華;朱魯華;;基于SQL注入的滲透性測試技術研究[J];計算機工程與設計;2007年15期

10 王云;郭外萍;陳承歡;;Web項目中的SQL注入問題研究與防范方法[J];計算機工程與設計;2010年05期

  本文關鍵詞：基于手工SQL注入的Web滲透測試技術研究，由筆耕文化傳播整理發(fā)布。

本文編號：295945