浅析SQL盲注攻击的实现被引量：5

Analysis of Blind SQL Injection Techniques

导出

摘要文章主要介绍了在SQL注入攻击中的一种新攻击技术—盲注攻击,首先介绍了SQL盲注技术的定义和危害,然后讨论了在错误信息被屏蔽的情况下如何探测SQL注入漏洞,确定SQL注入点,构造正确的注入句法及其利用代码,最后详细阐述了利用UNION SELECT语句来统计数据表的列数和判断列的数据类型的方法和步骤。 This paper presents a new attack technique for SQL Injection Attack-Blind SQL Injection Technique. In this paper, the definition and risk of Blind SQL Injection is first presented. Then, the paper discusses that, when detailed error messages are suppressed, how to identify SQL Injections based on minimal reaction of the server, and how to identify SQL Injection vulnerable parameters, to generate valid injection syntax and to build the required exploit. Finally, one attack model by UNION SELECT is described in detail. This paper tries to make it clear that application level vulnerabilities must be handled by application level solutions, and that relying on suppressed error messages for protection from SQL Injection is eventually useless.

作者王丽丽彭一楠王轶骏

机构地区上海交通大学信息安全学院

出处《信息安全与通信保密》 2008年第5期71-73,76,共4页 Information Security and Communications Privacy

关键词盲注数据库攻击 SQL注入网络应用程序安全 blind injection database attack SQL injection Web application security

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献4

1[1]Kost S.Introduction to SQL Injection Attacks for Oracle Developers[EB/OL].Integrigy Corporation,2004[2006-10-23].http://www.net-security.org/dl/articles/IntegrigyIntrotoSQLInjectionAttacks.pdf.
2[2]Anley C.Advanced SQL Injection In SQL Server Applications[EB/OL].An NGSSoftware Insight Security Research(NISR),2002[2006-10-23].Publication,http://www.ngssoftware.com/papers/advanced_sql_injection.pdf.
3[3]Anley C.(more)Advanced SQL Injection[EB/OL].An NGSSoftware Insight Security Research (NISR)Publication,2002[2006-10-23].http://www.ngssoftwamcom/papers/more_advanced_sql_injection.pdf.
4[4]Cerrudo C.Manipulating Microsoft SQL Server Using SQL Injection[EB/OL].2002[2006-10-23].http://www.appsecinc.com/presentations/Manipulating_SQL_Server_Using__SQL_Injection.pdf.

同被引文献23

1陈楠,薛质.SQL注入攻击的实现和防范[J].信息安全与通信保密,2005(1):48-50. 被引量：18
2贺朝晖.SQL注入攻击:网络安全攻防新焦点[J].华南金融电脑,2005,13(8):43-46. 被引量：1
3田润涛,谢培山.色谱指纹图谱相似度评价方法的规范化研究(一)[J].中药新药与临床药理,2006,17(1):40-42. 被引量：47
4张卓,薛质.Linux环境中基于PHP的SQL注入攻击与对策[J].信息安全与通信保密,2006,28(9):154-157. 被引量：4
5王庆生,张秀荣.基于状态协议分析的网络入侵检测技术[J].电脑开发与应用,2007,20(4):55-57. 被引量：3
6Martin B,Brown M,Paller A.2009 CWE/SANS Top 25 Most Dangerous Programming Errors[EB/OL].[2009-10-23].http://cwe.mitre.org/top25/pdf/2009_cwe_sans_top_25.pdf.
7Buehrer G,Weide B W,Sivilotti P A G.Using Parse Tree Validation to Prevent SQL Injection Attacks[C]//5th International Workshop on Software Engineering and Middleware.Lisbon,Portugal:[s.n.],2005:106-113.
8Kieyzun A,Guo P J,Jayaraman K,et al.Automatic Creation of SQL Injection and Cross-site Scripting Attacks[C]//Proceedings of the 2009 IEEE 31st International Conference on Software Engineering.Vancouver,Canada:[s.n.],2009:199-209.
9Halfond W G J,Orso A.AMNESIA:Analysis and Monitoring for NEutralizing SQL-injection Attacks[C]//Proceedings of the 20th IEEE/ACM International Conference on Automated Software Engineering.Long Beach,CA,USA:[s.n.],2005:22-28.
10ORLOFF Jeff. OWASP-Top-10-2010[EB/OL]. (2010-04-19)[2010-10-12]. https: //www.owasp.org/index.php/ Category: OWASP-Top-Ten-Proj eet.

引证文献5

1余志高,周国祥.Web应用中SQL注入攻击研究[J].信息安全与通信保密,2010,7(4):81-83. 被引量：10
2宋明生.Web银行系统中的SQL注入攻击及防范[J].信息安全与技术,2010,1(7):84-88.
3黄芳,苏桂莲.Web应用中SQL注入攻击与防范探析[J].软件导刊,2012,11(1):137-138. 被引量：4
4李常顺,胡勇.基于状态的SQL注入漏洞检测技术研究[J].信息安全与通信保密,2012,10(5):72-74.
5苏丽.基于入侵检测的SQL盲注行为[J].电子技术与软件工程,2018(15):186-186.

二级引证文献14

1戴明星,陈正奎.Web网站的安全代码设计[J].信息安全与通信保密,2010,7(10):92-94. 被引量：11
2李晨旸,陈萍,张晓梅.基于生命周期的应用安全解决方案[J].信息安全与通信保密,2010,7(11):48-50. 被引量：11
3查凯,方勇.基于标识的SQL注入攻击防御方法[J].信息安全与通信保密,2011,9(6):54-55. 被引量：6
4张贵军.网络攻击手段之SQL注入[J].山西经济管理干部学院学报,2011,19(4):77-78.
5宣以广.Ajax应用安全研究[J].信息安全与通信保密,2012,10(1):80-83. 被引量：2
6陈阳.中小企业如何应对APT攻击[J].硅谷,2012,5(8):182-183. 被引量：1
7靳娜.ASP．NET网站中SQL注入攻击的分析与防范[J].赤子,2012(12):180-180. 被引量：1
8黄锋,吴华瑞.基于J2EE应用的SQL注入分析与防范[J].计算机工程与设计,2012,33(10):3767-3771. 被引量：8
9汪彩梅,马婷婷.基于手动SQL注入攻击及防范设计与实现[J].计算机安全,2013(11):36-41. 被引量：1
10庄小妹,陈日明.SQL Injection攻击原理与防范[J].广东培正学院学报,2013,13(1):72-76. 被引量：1

1潘志红.Web环境下SQL Server的数据保护[J].北京联合大学学报,2006,20(3):23-27. 被引量：4
2高秀峰,陈立云,王帅,董思妤.数据库常见攻击方法及防范[J].计算机与信息技术,2012(3):43-46. 被引量：1
3姚澄.计算机数据库应用及管理中的安全问题研究[J].电子技术与软件工程,2014(4):201-201. 被引量：2
4杨省伟,杨浩杰.SQL注入数据库攻击与防御技术研究[J].长沙大学学报,2013,27(5):75-77. 被引量：4
5闫安.巧用EXCEL处理统计数据表[J].中国统计,2007,22(9):41-42. 被引量：2
6庄小妹,陈日明.SQL Injection攻击原理与防范[J].广东培正学院学报,2013,13(1):72-76. 被引量：1
7郜激扬.基于Web服务的数据库注入攻击与防范[J].华北水利水电学院学报,2008,29(1):89-91. 被引量：5
8赵学民,张月新.一种关系数据库水印的设计和实现[J].徐州工程学院学报（自然科学版）,2013,28(1):51-55. 被引量：1
9甲骨文发布首款数据库防火墙[J].上海信息化,2011(3):94-94.
10胡绿慧.基于宽幅跳跃关联定位的大型数据库入侵检测[J].科技通报,2014,30(12):232-234. 被引量：1

信息安全与通信保密

2008年第5期

浏览历史

内容加载中请稍等...

浅析SQL盲注攻击的实现被引量：5

参考文献4

同被引文献23

引证文献5

二级引证文献14

相关作者

相关机构

相关主题

浏览历史

浅析SQL盲注攻击的实现 被引量：5

参考文献4

同被引文献23

引证文献5

二级引证文献14

相关作者

相关机构

相关主题

浏览历史

浅析SQL盲注攻击的实现被引量：5