SQL注入的自動化檢測技術研究.pdf

1、SQL注入誕生于Web應用和數(shù)據(jù)庫相互連接時。在1998年圣誕節(jié)，Rain Forest Puppy首次發(fā)布了一篇關于SQL注入的報告，介紹了如何利用SQL注入漏洞對網站發(fā)起攻擊。國外的研究人員從1999年開始從事相關研究工作，而國內的研究工作從2002年后才開始大量出現(xiàn)。但到目前為止，許多安全專家和開發(fā)人員仍對SQL注入不了解。SQL注入漏洞廣泛存在于Web應用中。根據(jù)OWASP發(fā)布的十大安全漏洞威脅報告（OWASP Top10）和3

2、60發(fā)布的安全報告可知，注入漏洞一直嚴重威脅著網站安全。360發(fā)布的《2014年全國網站安全報告》指出SQL注入漏洞占到了所有檢出的網站漏洞的14.5％。由此可見，SQL注入漏洞的安全威脅一直存在。本文的主要研究工作如下：
　　1.闡述了SQL注入漏洞的研究背景及意義，介紹了國內外對SQL注入研究的現(xiàn)狀。
　　2.詳細介紹了SQL注入的測試技術，包括SQL注入的尋找和SQL注入的確認。本文介紹了基于遠程滲透測試的SQL注入漏

3、洞挖掘方法：借助推理進行測試、數(shù)據(jù)庫錯誤、應用程序響應和SQL盲注；確認SQL注入漏洞可以借助以下四種技術：區(qū)分數(shù)字和字符串、內聯(lián)SQL注入、終止式SQL注入和時間延遲。
　　3.詳細研究了SQL注入的利用技術。在識別出應用的注入漏洞后，下一步是如何研究如何利用SQL注入漏洞。本文總結了五種常見的SQL注入利用技術，包括常見的漏洞利用技術、識別數(shù)據(jù)庫、使用 UINION語句提取數(shù)據(jù)、使用條件語句和枚舉數(shù)據(jù)庫模式。
　　4.總

4、結了現(xiàn)有SQL注入漏洞檢測技術，本文提出了基于啟發(fā)式漏洞檢測、常規(guī)檢測和基于模糊測試的檢測技術相結合的一種混合式的SQL注入漏洞檢測方法。
　　5.研究了Web應用防火墻（WAF）的檢測和繞過技術，通過將Payload進行編碼、混淆等處理，清除了SQL注入檢測中可能遇到的障礙。同時對移動應用和HTML5客戶端、NoSQL等前沿領域的SQL注入問題進行了探索。
　　6．設計、實現(xiàn)和測試了SQL注入的自動化檢測系統(tǒng)?；谏鲜鎏岬?/p>