隨著互聯(lián)網(wǎng)的發(fā)展,人們面臨的網(wǎng)絡(luò)安全威脅在不斷增加。在Web應(yīng)用存在的各種漏洞中,SQL注入漏洞因其影響巨大,是安全測(cè)試領(lǐng)域研究的重要課題之一。按照系統(tǒng)文獻(xiàn)綜述的方法,調(diào)研40篇文獻(xiàn),研究現(xiàn)有的SQL注入漏洞檢測(cè)技術(shù),從SQL注入漏洞的形成原因,SQL注入主要攻擊方式,以及安全測(cè)試的角度,綜述近10年來(lái)SQL注入漏洞檢測(cè)方面的主要技術(shù)和方法,歸納這一領(lǐng)域的未來(lái)研究方向,研究結(jié)果可供相關(guān)研究人員和測(cè)試人員參考。

【文章頁(yè)數(shù)】：8 頁(yè)

【部分圖文】：

圖2 SQL注入漏洞檢測(cè)方法分類(lèi)占比

在安全測(cè)試中，檢測(cè)SQL注入漏洞指對(duì)被測(cè)程序進(jìn)行測(cè)試，以發(fā)現(xiàn)程序本身的漏洞。按照是否分析被測(cè)程序源代碼，可將檢測(cè)方法分為白盒和黑盒兩類(lèi)。根據(jù)計(jì)量分析，圖2表示了SQL注入漏洞檢測(cè)相關(guān)文獻(xiàn)中用到檢測(cè)方法的占比情況。3.1白盒方法

圖3 SQL注入漏洞檢測(cè)一般流程

SQL注入漏洞檢測(cè)的一般流程是：首先確定被測(cè)目標(biāo)程序，在信息收集階段，確定被測(cè)程序有哪些可注入點(diǎn)；然后，在測(cè)試用例生成階段使用某些技術(shù)生成SQL注入測(cè)試用例；在執(zhí)行階段，執(zhí)行生成的測(cè)試用例并監(jiān)控目標(biāo)程序；最后，結(jié)果分析階段需要根據(jù)監(jiān)測(cè)或被測(cè)程序響應(yīng)來(lái)分析檢測(cè)結(jié)果，確認(rèn)被測(cè)程序是否....

本文編號(hào)：4022562