化工企業(yè)在國(guó)民經(jīng)濟(jì)中占有重要地位,是國(guó)家的基礎(chǔ)產(chǎn)業(yè)和支柱產(chǎn)業(yè)。如何在互聯(lián)網(wǎng)的浪潮中保障化工企業(yè)數(shù)據(jù)安全,具有重要的研究?jī)r(jià)值。在眾多數(shù)據(jù)安全危害中,SQL注入攻擊是企業(yè)數(shù)據(jù)庫(kù)服務(wù)器的最大威脅。遭受攻擊的數(shù)據(jù)庫(kù)會(huì)出現(xiàn)數(shù)據(jù)丟失、泄露等嚴(yán)重后果,給企業(yè)造成巨大的損失。二階SQL注入是注入攻擊的重要手段之一,因?yàn)槠潆[蔽性高,發(fā)現(xiàn)難度大,往往成為防御的忽視點(diǎn)。傳統(tǒng)的防御方法大多采用篩選和丟棄疑似攻擊數(shù)據(jù)的策略,化工數(shù)據(jù)類型復(fù)雜,其中包涵大量符號(hào)與公式,與SQL注入的攻擊載荷具有相似性,嚴(yán)格的篩選策略會(huì)導(dǎo)致常規(guī)化工數(shù)據(jù)被誤認(rèn)為攻擊數(shù)據(jù)而丟棄,顧此失彼。因此,本文在保障數(shù)據(jù)完整性的前提下,提出了以下新型的二階SQL注入防御技術(shù)。1.敏感字符日志生成技術(shù)。在攻擊載荷的存儲(chǔ)過(guò)程中,利用敏感字符集對(duì)數(shù)據(jù)進(jìn)行識(shí)別記錄,再配合基于樸素貝葉斯算法的分類器對(duì)記錄進(jìn)行二次判斷和分類,生成敏感字符日志。該日志可以為運(yùn)維人員提供潛在攻擊載荷的數(shù)據(jù)名單,提高數(shù)據(jù)修復(fù)的效率,降低注入攻擊帶來(lái)的損失。2.基于二分法的二階SQL注入防御技術(shù)。在攻擊載荷二次調(diào)用之前,標(biāo)記敏感操作并追蹤數(shù)據(jù)流。在二次調(diào)用的數(shù)據(jù)進(jìn)入服務(wù)器之前將其截獲...

【文章頁(yè)數(shù)】：58 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

圖2.1應(yīng)用三層架構(gòu)示意圖

⑹?蕕撓τ貿(mào)?序通常分為三層：表示層、邏輯層和存儲(chǔ)層。三層之間的運(yùn)行流程為：Web瀏覽器向中間邏輯層發(fā)送請(qǐng)求，邏輯層通過(guò)增加、修改、更新等命令來(lái)操作存儲(chǔ)層響應(yīng)請(qǐng)求[34]。2.1.1簡(jiǎn)單的應(yīng)用架構(gòu)Web應(yīng)用中最高層為表示層，在化工場(chǎng)景的應(yīng)用程序中，它顯示和記錄企業(yè)的日常生產(chǎn)數(shù)據(jù)，....

圖2.2應(yīng)用四層架構(gòu)示意圖

操縱數(shù)據(jù)庫(kù)執(zhí)行增、刪、改、查操作。數(shù)據(jù)庫(kù)服務(wù)器將執(zhí)行結(jié)果傳遞回邏輯層服務(wù)器。邏輯層將數(shù)據(jù)置于Web頁(yè)面中，以HTML格式返回給表示層Web終端，用于展示給數(shù)據(jù)操作人員[36]。2.1.2復(fù)雜的應(yīng)用架構(gòu)三層應(yīng)用架構(gòu)的擴(kuò)展存在局限性，因此，在可擴(kuò)展性和可維護(hù)性的基礎(chǔ)上提出新的應(yīng)用架構(gòu)....

圖2.3一階SQL注入流程圖

淮陰工學(xué)院碩士學(xué)位論文第9頁(yè)接到腳本構(gòu)造的動(dòng)態(tài)SQL語(yǔ)句中，由于SQL語(yǔ)句本身語(yǔ)法多樣，以及構(gòu)造SQL語(yǔ)句的編碼復(fù)雜，通過(guò)精心構(gòu)造的SQL語(yǔ)句可以輕易的被送入數(shù)據(jù)庫(kù)服務(wù)器[41]。因?yàn)檎Z(yǔ)句符合數(shù)據(jù)庫(kù)的語(yǔ)法規(guī)則，所以被順利執(zhí)行并且造成意料之外的惡意結(jié)果。圖2.3一階SQL注入流程圖....

圖2.4二階SQL注入流程圖

淮陰工學(xué)院碩士學(xué)位論文第13頁(yè)因?yàn)閿?shù)據(jù)庫(kù)中“--”為注釋符號(hào)，所以修改密碼的用戶變成了“admin”，即數(shù)據(jù)庫(kù)管理員用戶的密碼被修改，攻擊者可以輕松登錄管理員賬號(hào)，對(duì)應(yīng)用程序進(jìn)行惡意操作。形成該漏洞的關(guān)鍵原因是在沒(méi)有做出任何防御措施的情況下，利用來(lái)自數(shù)據(jù)庫(kù)的數(shù)據(jù)動(dòng)態(tài)構(gòu)建SQL語(yǔ)句....

本文編號(hào)：3934220