Web應(yīng)用SQL注入漏洞測(cè)試系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，web技術(shù)在各個(gè)領(lǐng)域都得到了廣泛的應(yīng)用，web應(yīng)用系統(tǒng)無處不在，隨之而來的是web應(yīng)用系統(tǒng)面臨的安全風(fēng)險(xiǎn)與日劇增。由于開發(fā)人員缺乏安全編程知識(shí)或經(jīng)驗(yàn)，使得開發(fā)出來的web應(yīng)用不可避免地出現(xiàn)一些漏洞，其中SQL注入漏洞是最常見的漏洞之一。
　　 Web應(yīng)用漏洞檢測(cè)技術(shù)，是一種針對(duì)web應(yīng)用的積極防御技術(shù)。該技術(shù)在應(yīng)用尚未遭受攻擊前，模擬黑客攻擊的方式對(duì)目標(biāo)系統(tǒng)進(jìn)行各種探測(cè)，發(fā)現(xiàn)系統(tǒng)潛在的漏洞。由于we

2、b應(yīng)用工作在HTTP應(yīng)用層協(xié)議上，所以傳統(tǒng)的防火墻、IDS等網(wǎng)絡(luò)層防護(hù)設(shè)備不能對(duì)其進(jìn)行保護(hù)，此時(shí)就需要web應(yīng)用漏洞檢測(cè)工具對(duì)系統(tǒng)的應(yīng)用層進(jìn)行保護(hù)，二者互補(bǔ)不足，共同保護(hù)web系統(tǒng)的安全。
　　 Web應(yīng)用漏洞種類很多，本文有針對(duì)性地研究了SQL注入漏洞。在OWASP最新發(fā)布的web應(yīng)用安全風(fēng)險(xiǎn)報(bào)告中，其中SQL注入漏洞高居榜首，可見該漏洞最受攻擊者關(guān)注，被利用的可能性很高，由此帶來的安全風(fēng)險(xiǎn)也不斷增加，因此研究SQL注入漏洞的

3、檢測(cè)是一件十分有意義的工作。
　　 本文首先分析了web應(yīng)用面臨的安全形勢(shì)，主流的web應(yīng)用漏洞檢測(cè)產(chǎn)品，分析它們的優(yōu)點(diǎn)與不足。接著重點(diǎn)研究了SQL注入漏洞形成的原因、具有的特點(diǎn)、攻擊的過程以及防御的對(duì)策，以及研究了SQL注入漏洞的檢測(cè)技術(shù)。在此基礎(chǔ)上設(shè)計(jì)了web應(yīng)用SQL注入漏洞測(cè)試系統(tǒng)的基礎(chǔ)架構(gòu)，描述了各主要組成模塊的功能和工作原理，實(shí)現(xiàn)了系統(tǒng)原型;然后搭建測(cè)試環(huán)境，對(duì)系統(tǒng)的功能進(jìn)行測(cè)試，基本達(dá)到預(yù)期的目標(biāo);最后分析了系統(tǒng)存