SQL注入漏洞多等级检测方法研究被引量：18

Research on SQL Injection Vulnerability Multi-level Detection Method

下载PDF

导出

摘要在深入分析SQL(structured query language)注入攻击特点、攻击方式及SQL注入漏洞相关防御机制的基础上,依据防御度的高低对SQL注入漏洞进行分级。将漏洞分级作为SQL注入模糊测试用例等价类划分的依据,对SQL注入参数进行优化选择后,模拟黑客攻击的方式主动地、有针对性地进行检测。SQL注入参数的等价类划分保证了模糊测试过程的完备性和无冗余性。 On the basis of an in-depth analysis of characteristics of SQL（structured query language） injection attacks and defense mechanisms related to SQL injection vulnerability,this paper grades the SQL injection vulnerability according to the level of defense degree,and takes the vulnerability grading as the basis for the equivalence partitioning of SQL injection fuzz testing case.After the optimized choice of SQL injection parameters,it detects the SQL injection vulnerabilities of target Web system initiatively and effectively by imitating hacker attacks,which makes the detection more target-oriented.The equivalence partition of SQL injection parameters ensures the completeness and no redundancy of fuzz testing.

作者练坤梅许静田伟张莹

机构地区南开大学信息技术科学学院

出处《计算机科学与探索》 CSCD 2011年第5期474-480,共7页 Journal of Frontiers of Computer Science and Technology

基金天津市科技攻关项目 No.08ZCKFGX01100~~

关键词漏洞检测结构化查询语言(SQL) SQL注入分级模糊测试等价类划分 vulnerability detection structured query language（SQL） SQL injection grading fuzz testing equivalence partitioning

分类号 TP311 [自动化与计算机技术—计算机软件与理论]

引文网络
相关文献

参考文献7

1Zhang Zhuo. SQL injection attack techniques and coun- termeasures analysis[D]. Shanghai: Shanghai Jiao Tong University, 2007.
2Stuttard D, Pinto M. The Web application haker's hand- book[M]. Shi Huayao. Beijing: Posts & Telecom Press, 2009: 160-201.
3余静,高丰,徐良华,朱鲁华.基于SQL注入的渗透性测试技术研究[J].计算机工程与设计,2007,28(15):3577-3579. 被引量：8
4Yin Hong. Research and implementation of active scanner against loophole embedded in Web application pro- gram[D]. Changsha: National University of Defense Technology, 2005.
5Xu Liang. Research and implementation of Web applica- tion vulnerability scanning system based-on network[D] Changsha: National University of Defense Technology 2005.
6Williams J, Wichers D. OWASP top 10-2010 rcl[R]. Washington: OWASP, 2010.
7Kals S, Kirda E, Kruegel C, et al. SecuBat: a Web vul- nerability scanner[C]//Proceedings of the 15th Interna- tional Conference on World Wide Web, Edinburgh, Scotland, 2006. New York, NY, USA: ACM Press, 2006: 247-256.

二级参考文献7

1张勇,李力,薛倩.Web环境下SQL注入攻击的检测与防御[J].现代电子技术,2004,27(15):103-105. 被引量：55
2陈运栋.谈Sql注入式攻击的典型手法和检测防范措施[J].微型电脑应用,2004,20(9):13-15. 被引量：13
3David Litchfield, Bill Grindlay. SQL server security [M], McGraw-Hill Companies,2004.
4David Litchfield, Chris Anley. The database hacker's handbook [M].Wiley Publishing Inc,2005.
5Joel Scambray,Stuart McClure．黑客大曝光[M]．北京：清华大学出版社，2002．
6David Litchfield. Oracle PL/SQL injection[C].BlackHat Europe, 2004.
7Kevin Spett.Blind_SQLInjection[DB/OL]. http://www. spidynaroles.com.

共引文献7

1王湘渝,刘豪.SQL注入攻击及其防范技术研究[J].网络安全技术与应用,2009(9):62-63. 被引量：2
2石聪聪,张涛,余勇,林为民.一种新的SQL注入防护方法的研究与实现[J].计算机科学,2012,39(B06):60-64. 被引量：10
3秦昊,林为民,张涛.基于代理的信息安全网络隔离装置的研究与实现[J].计算机与数字工程,2012,40(10):110-112. 被引量：4
4张红瑞,郝建,吕延岗.Web应用安全攻防实训平台的设计与实现[J].学周刊（下旬）,2014(2):28-29.
5李洪敏,黄晓芳,张建平.SQL自动注入攻击框架研究与设计[J].兵工自动化,2015,34(8):45-48. 被引量：1
6巨腾飞,王楠,杨帆.浅谈政府网站渗透性测试[J].中国科技成果,2016,0(6):37-38.
7卢成浪,郑城仁.SQL漏洞研究及实战分析[J].电子技术与软件工程,2018(7):166-168. 被引量：2

同被引文献101

1冯谷,高鹏.新型SQL注入技术研究与分析[J].计算机科学,2012,39(S3):415-417. 被引量：10
2张敏钰.钓鱼网站简介[J].保密科学技术,2011(6):72-75. 被引量：1
3张勇,李力,薛倩.Web环境下SQL注入攻击的检测与防御[J].现代电子技术,2004,27(15):103-105. 被引量：55
4张涛,王行建.对SQL注入漏洞的研究与防范措施的探讨[J].计算机时代,2006(11):30-31. 被引量：8
5周敬利,王晓锋,余胜生,夏洪涛.一种新的反SQL注入策略的研究与实现[J].计算机科学,2006,33(11):64-68. 被引量：21
6陈小兵,张汉煜,骆力明,黄河.SQL注入攻击及其防范检测技术研究[J].计算机工程与应用,2007,43(11):150-152. 被引量：72
7李郭欢,张文政.可信网络的平台认证与接入[J].信息安全与通信保密,2007,29(8):106-108. 被引量：4
8World Wide Web[ EB/OL]. [ 2011-8-31 ]. http ://en. wikipedia, org/wiki/World_Wide_Web.
9[美]克拉克著,黄晓磊,李化译.SQL注入攻击与防御[M].北京:清华大学出版社,2010.
10百度百科.正则表达式[EB/OL].http://baike.baidu.com/view/94238.htm.

引证文献18

1王宇,刘军,李源,王兴伟.基于页面分析的Web安全监测与报警系统[J].广西大学学报（自然科学版）,2011,36(A01):137-141.
2吴贵山.SQL注入攻击防御策略的研究[J].计算机与网络,2012,38(9):70-73. 被引量：9
3魏为民,袁仲雄.网络攻击与防御技术的研究与实践[J].信息网络安全,2012(12):53-56. 被引量：49
4杜雷,辛阳.基于规则库和网络爬虫的漏洞检测技术研究与实现[J].信息网络安全,2014(10):38-43. 被引量：11
5田玉杰,赵泽茂,张海川,李学双.二阶SQL注入攻击防御模型[J].信息网络安全,2014(11):70-73. 被引量：8
6王佩,牛晨,丁立彤.基于PHP的在线跨站脚本检测工具[J].现代电子技术,2015,38(20):41-43.
7栗迎结,任洪敏.基于Selenium的SQL注入漏洞检测系统的研究[J].现代计算机,2016,22(14):20-24. 被引量：2
8陈建业,余勇.智能电网应用全生命周期安全保障框架[J].信息安全研究,2016,2(9):850-855. 被引量：1
9陈彦,李朝荣.基于WAMP的物理实验选课系统安全漏洞与防范措施[J].高校实验室工作研究,2016(3):76-78.
10鲍静.Java语言的程序漏洞检测与诊断技术应用研究[J].中国安全防范认证,2017,0(2):51-54. 被引量：3

二级引证文献94

1吕韬,张雪,冯源,袁薇.数据库共享存储集群中缓存融合技术测试方法[J].工业技术创新,2021,8(4):60-66. 被引量：2
2潘号良,汪光一,陆新华.浅谈SQL注入攻击与防范[J].网络安全技术与应用,2013(1):31-32. 被引量：1
3李智慧.基于NTFS加密文件的安全保障[J].信息安全与技术,2013,4(4):44-46.
4嵇元祥.网电空间战与能力建设研究[J].信息安全与技术,2013,4(5):15-16. 被引量：2
5于晗.一种集成安全测试的软件设计方法[J].信息安全与技术,2013,4(5):49-52.
6郑培峰.浅谈如何构建安全的学校Web网站[J].信息安全与技术,2013,4(5):97-100. 被引量：1
7刘一.国外网络信息安全建设概述[J].信息安全与技术,2013,4(6):3-4. 被引量：7
8夏斗牛.关于HFS+文件系统数据恢复的研究[J].信息安全与技术,2013,4(6):8-10. 被引量：1
9罗学义.局域网ARP攻击防范[J].信息安全与技术,2013,4(9):37-39. 被引量：1
10李晓龙.基于SQL注入攻击的三种防御技术[J].湖北文理学院学报,2013,34(5):18-21. 被引量：7

1康晓东,张贤松,冯国智,孙福街.基于均匀设计的聚合物驱注入参数优化方法[J].中国海上油气,2008,20(2):99-101. 被引量：11
2李先锋,朱伟兴,花小朋,孔令东.融合形状和颜色特征的苹果等级检测[J].计算机工程与应用,2010,46(35):202-204. 被引量：7
3王磊,刘娜.河北省政府网站无障碍建设现状调查与分析[J].中小企业管理与科技,2013(10):296-297.
4夏晶,胡娟.基于彩色可见光图像的外绝缘污秽等级检测[J].大众科技,2014,16(2):19-21. 被引量：3
5陈圣俭,王建国.基于Vxworks操作系统的MIL-STD-1553B总线接口板仿真测控[J].中国电力教育,2007(S3):267-269.
6魏星,马正娟,冉陈思.基于物联网RFID技术的桥梁承重实时监测系统[J].电子技术与软件工程,2016(16):114-114. 被引量：2
7许章华,刘健,余坤勇,龚从宏,谢婉君,唐梦雅,赖日文,李增禄.松毛虫危害马尾松光谱特征分析与等级检测[J].光谱学与光谱分析,2013,33(2):428-433. 被引量：16
8西门子有限公司自动化与驱动集团新型光学传感器[J].现代制造,2008(10):68-68.
9蒋兆远,康会峰,杜亚江,闫军.机车状态监测地面分析预测系统设计[J].中国铁路,2009(12):63-65. 被引量：1
10马民虎.信息系统保护安全等级评测的法律模式[J].网络安全技术与应用,2002(12):62-64. 被引量：1

计算机科学与探索

2011年第5期

浏览历史

内容加载中请稍等...

SQL注入漏洞多等级检测方法研究被引量：18

参考文献7

二级参考文献7

共引文献7

同被引文献101

引证文献18

二级引证文献94

相关作者

相关机构

相关主题

浏览历史

SQL注入漏洞多等级检测方法研究 被引量：18

参考文献7

二级参考文献7

共引文献7

同被引文献101

引证文献18

二级引证文献94

相关作者

相关机构

相关主题

浏览历史

SQL注入漏洞多等级检测方法研究被引量：18