隨著互聯(lián)網(wǎng)的發(fā)展,人們面臨的網(wǎng)絡(luò)安全威脅在不斷增加。在Web應(yīng)用存在的各種漏洞中,SQL注入漏洞因其影響巨大,是安全測試領(lǐng)域研究的重要課題之一。按照系統(tǒng)文獻(xiàn)綜述的方法,調(diào)研40篇文獻(xiàn),研究現(xiàn)有的SQL注入漏洞檢測技術(shù),從SQL注入漏洞的形成原因,SQL注入主要攻擊方式,以及安全測試的角度,綜述近10年來SQL注入漏洞檢測方面的主要技術(shù)和方法,歸納這一領(lǐng)域的未來研究方向,研究結(jié)果可供相關(guān)研究人員和測試人員參考。

【文章頁數(shù)】：8 頁

【部分圖文】：

圖2 SQL注入漏洞檢測方法分類占比

在安全測試中，檢測SQL注入漏洞指對被測程序進(jìn)行測試，以發(fā)現(xiàn)程序本身的漏洞。按照是否分析被測程序源代碼，可將檢測方法分為白盒和黑盒兩類。根據(jù)計(jì)量分析，圖2表示了SQL注入漏洞檢測相關(guān)文獻(xiàn)中用到檢測方法的占比情況。3.1白盒方法

圖3 SQL注入漏洞檢測一般流程

SQL注入漏洞檢測的一般流程是：首先確定被測目標(biāo)程序，在信息收集階段，確定被測程序有哪些可注入點(diǎn)；然后，在測試用例生成階段使用某些技術(shù)生成SQL注入測試用例；在執(zhí)行階段，執(zhí)行生成的測試用例并監(jiān)控目標(biāo)程序；最后，結(jié)果分析階段需要根據(jù)監(jiān)測或被測程序響應(yīng)來分析檢測結(jié)果，確認(rèn)被測程序是否....

本文編號：4022562