本文關(guān)鍵詞：基于敏感字符的SQL注入攻擊防御方法

  更多相關(guān)文章： SQL注入攻擊 可信敏感字符 動(dòng)態(tài)污點(diǎn)分析 積極污點(diǎn)分析 編碼轉(zhuǎn)換

【摘要】：SQL注入攻擊歷史悠久,其檢測(cè)機(jī)制也研究甚廣.現(xiàn)有的研究利用污點(diǎn)分析(taint analysis)結(jié)合SQL語(yǔ)句語(yǔ)法分析進(jìn)行SQL注入攻擊檢測(cè),但由于需要修改Web應(yīng)用程序執(zhí)行引擎來(lái)標(biāo)記和跟蹤污點(diǎn)信息,難以部署,并且時(shí)間和空間性能損失過(guò)大.通過(guò)分析SQL注入攻擊機(jī)理,提出一種基于敏感字符的SQL注入攻擊防御方法.1)僅對(duì)來(lái)自常量字符串的可信敏感字符進(jìn)行積極污點(diǎn)標(biāo)記;2)無(wú)需修改Web應(yīng)用程序執(zhí)行引擎,利用編碼轉(zhuǎn)換將污點(diǎn)信息直接存儲(chǔ)在可信敏感字符的編碼值中,動(dòng)態(tài)跟蹤其在程序中的傳播;3)無(wú)需SQL語(yǔ)句語(yǔ)法分析,只需利用編碼值判斷SQL語(yǔ)句中敏感字符的來(lái)源、轉(zhuǎn)義非可信敏感字符,即可防御SQL注入攻擊.基于PHP的Zend引擎實(shí)現(xiàn)了系統(tǒng)原型PHPGate,以插件方式實(shí)現(xiàn)、易部署.實(shí)驗(yàn)證明:PHPGate可精確防御SQL注入攻擊,且有效提升污點(diǎn)傳播效率,頁(yè)面應(yīng)答的時(shí)間開銷不超過(guò)1.6%.
【作者單位】： 北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所;加州大學(xué)伯克利分校;百度美國(guó)有限責(zé)任公司;
【關(guān)鍵詞】： SQL注入攻擊 可信敏感字符 動(dòng)態(tài)污點(diǎn)分析 積極污點(diǎn)分析 編碼轉(zhuǎn)換
【基金】：國(guó)家自然科學(xué)基金項(xiàng)目(61572149,61402125)~~
【分類號(hào)】：TP393.08
【正文快照】： 2(加州大學(xué)伯克利分校加利福尼亞伯克利94720)3(百度美國(guó)有限責(zé)任公司加利福尼亞森尼韋爾94089)(zhanghuilin@pku.edu.cn)SQL注入(SQL injection)是一種代碼注入(code injection)攻擊[1-2],其根源是Web應(yīng)用程序中的SQL語(yǔ)句通常由程序中可信的常量字符串和用戶輸入等不可信的外

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前3條

1 ;漢神平臺(tái)出世 創(chuàng)新世界領(lǐng)先[J];數(shù)據(jù)傳播周刊;1997年06期

2 賈宏宇,趙俊峰;語(yǔ)音E-MAIL系統(tǒng)的原理與設(shè)計(jì)[J];小型微型計(jì)算機(jī)系統(tǒng);2002年02期

3 ;[J];;年期

，

本文編號(hào)：601726