Web應用二階SQL注入漏洞檢測方法研究.pdf

1、Web應用二階應用二階SQL注入漏洞檢測方法研究注入漏洞檢測方法研究ResearchonDetectionMethodofSecondderSQLInjectionVulnerabilityinWebApplications學科專業(yè)：計算機技術研究生：閆璐指導教師：李曉紅教授企業(yè)導師：鄭平正高工天津大學計算機科學與技術學院二零一三年十一月摘要隨著互聯(lián)網(wǎng)技術的快速發(fā)展，web應用在各種業(yè)務領域得到了廣泛的應用，大量存儲數(shù)據(jù)信息的web應用

2、被開發(fā)來提供各種服務，而安全漏洞卻對快速發(fā)展的web應用構成了嚴重的安全威脅。SQL注入是眾多web應用安全漏洞中典型且危害嚴重的一種，許多有效的方法和工具被提出用于檢測和阻止一階SQL注入，然而對于將用戶輸入存儲在后端數(shù)據(jù)庫的二階SQL注入，卻缺乏準確有效的檢測方法。本文通過對二階SQL注入原理、過程的深入分析，抽象出二階SQL注入的形成過程，并在此基礎上提出一種綜合使用靜態(tài)和動態(tài)方法檢測二階SQL注入漏洞的方法。靜態(tài)分析部分，該方法

3、首先分析源代碼，抽取出代碼中的SQL語句和列名，并根據(jù)代碼中的信息為每個列名創(chuàng)建數(shù)據(jù)項，然后通過識別準則進行匹配找到源代碼中可能存在二階SQL注入漏洞的數(shù)據(jù)項序組；動態(tài)測試部分，對可能存在漏洞的數(shù)據(jù)項序組進一步進行確認，首先將數(shù)據(jù)項序組轉(zhuǎn)化為有效的測試序列，并生成進行測試的惡意輸入，最后整合惡意輸入和測試序列進行測試，根據(jù)系統(tǒng)響應確定漏洞的存在。最后本文使用四個web應用對方法的有效性和可行性進行評估，實驗結果表明本方法能準確有效地檢測