本文關(guān)鍵詞：基于程序分析的SQL漏洞檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)，由筆耕文化傳播整理發(fā)布。

【摘要】：近年來,隨著Web技術(shù)的迅速發(fā)展,網(wǎng)站與人們的生活越來越緊密,小到個(gè)人創(chuàng)建博客用來寫作,發(fā)表心情動(dòng)態(tài),大到企業(yè)、單位和政府部門構(gòu)建網(wǎng)站用來發(fā)布產(chǎn)品、新聞和動(dòng)態(tài)等。生活中,人們可以利用網(wǎng)站高效快捷的完成很多事情。例如網(wǎng)上購(gòu)物、社交、搜索、移動(dòng)醫(yī)療、移動(dòng)支付、教育和保險(xiǎn)等。誠(chéng)然,網(wǎng)站的增多和普及給人們的生活帶來了極大的便利,但也潛伏著一些Web安全問題。SQL漏洞就是Web安全中最常見的的一種安全漏洞。隨著未來大數(shù)據(jù)的崛起,Web應(yīng)用會(huì)越來越傾向于以數(shù)據(jù)為中心,而SQL漏洞問題自然是Web安全研究的重點(diǎn)。所以研究SQL漏洞的檢測(cè)和防御對(duì)Web安全具有重要意義。針對(duì)上述問題,本文首先介紹了SQL漏洞的攻擊原理,引出了SQL漏洞檢測(cè)的相關(guān)技術(shù),詳細(xì)論述了基于SQL漏洞檢測(cè)的經(jīng)典方法和國(guó)內(nèi)外的先進(jìn)技術(shù),分析對(duì)比了各種方法的優(yōu)缺點(diǎn)。其次,研究和探討了基于程序分析技術(shù)的SQL漏洞檢測(cè)理論,并設(shè)計(jì)一種SQL漏洞的檢測(cè)模型。總體框架主要包括源碼分析模塊、程序活動(dòng)分析模塊、參數(shù)構(gòu)造模塊和SQL漏洞判定模塊。SQL注入攻擊的根本原因主要是服務(wù)器端動(dòng)態(tài)構(gòu)造的SQL語(yǔ)句包含有惡意用戶輸入內(nèi)容,并且服務(wù)器端沒有充分的驗(yàn)證機(jī)制�；谏鲜鲈�,本文設(shè)計(jì)了一種面向PHP程序的,基于程序分析的SQL漏洞檢測(cè)方法。該方法以動(dòng)態(tài)和靜態(tài)相結(jié)合的分析技術(shù)為基礎(chǔ),對(duì)一次注入活動(dòng)從數(shù)據(jù)流分析和控制流分析方面進(jìn)行了詳細(xì)的分析和研究,然后通過模擬測(cè)試數(shù)據(jù),執(zhí)行基于詞法特征比較的SQL漏洞判定算法來檢測(cè)SQL漏洞。最后本文結(jié)合程序分析技術(shù)、詞法特征比較和SQL漏洞判定算法設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)SQL漏洞檢測(cè)的原型系統(tǒng)。通過實(shí)驗(yàn)數(shù)據(jù)的分析,基于程序分析技術(shù)的SQL漏洞檢測(cè)方法可以較好地檢測(cè)SQL漏洞,具有誤報(bào)率、漏報(bào)率低,時(shí)間開銷少的優(yōu)勢(shì)。
【關(guān)鍵詞】：SQL漏洞 動(dòng)靜態(tài)結(jié)合 程序分析 行為模型 詞法特征
【學(xué)位授予單位】：北京工業(yè)大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP391.1;TP393.08

【參考文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前1條

1 楊玉梅;;面向?qū)ο髉etri網(wǎng)在系統(tǒng)建模中的應(yīng)用[J];內(nèi)江科技;2007年01期

  本文關(guān)鍵詞：基于程序分析的SQL漏洞檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)，，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：312607