基于Fuzzing的SQL注入漏洞檢測系統(tǒng)研究與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，Web技術(shù)被廣泛應(yīng)用到了各個領(lǐng)域，比如網(wǎng)上購物、繳費(fèi)充值、網(wǎng)上銀行以及各種社交網(wǎng)站。這些Web應(yīng)用給我們帶來便利的同時也存在一定的安全隱患。因?yàn)殚_發(fā)系統(tǒng)的程序員技術(shù)水平不同，導(dǎo)致其開發(fā)的Web應(yīng)用難免會存在漏洞，SQL注入漏洞是最常見的漏洞之一。黑客往往會利用這些漏洞通過SQL注入的方式挖掘用戶信息，盜取敏感數(shù)據(jù)以謀取巨大利益。所以，對于檢測SQL注入漏洞問題的研究有非常重要的現(xiàn)實(shí)意義。
　　本研究介紹了W

2、eb應(yīng)用在安全問題上的嚴(yán)峻形勢，研究和學(xué)習(xí)國內(nèi)外在檢測Web應(yīng)用SQL注入漏洞方面所使用方法的優(yōu)點(diǎn)并分析它們的不足，了解SQL注入漏洞產(chǎn)生的原因、SQL注入攻擊原理以及常用的SQL注入漏洞檢測方法。針對目前存在的SQL注入漏洞檢測系統(tǒng)存在漏報(bào)、誤報(bào)率高的問題，采用多線程的爬蟲技術(shù)，并使用MD5算法對爬取的鏈接進(jìn)行過濾和去重;提出一種基于Fuzzing技術(shù)的生成測試用例方法。首先，根據(jù)用例特征的不同建立不同的特征模板。然后，隨機(jī)組合這些測

3、試用例特征模板，動態(tài)生成許多的測試用例。最后，根據(jù)Web應(yīng)用過濾規(guī)則生成變形規(guī)則對測試用例進(jìn)行變形處理。這樣，測試用例就可以繞過Web應(yīng)用的過濾機(jī)制，提高檢測出漏洞的準(zhǔn)確率;采用基于DOM樹序列值比對的頁面對比算法檢測是否存在漏洞;通過使用漏洞量化評估方法，對Web應(yīng)用的安全狀況進(jìn)行量化評估，判斷該Web應(yīng)用的安全等級。在此基礎(chǔ)上，設(shè)計(jì)并實(shí)現(xiàn)基于Fuzzing的SQL注入漏洞檢測系統(tǒng)。將本文設(shè)計(jì)實(shí)現(xiàn)的系統(tǒng)與其他檢測工具進(jìn)行對比實(shí)驗(yàn)，并通