一种新的SQL注入防护方法的研究与实现

当前Web应用安全问题日益严峻,而SQL注入是针对Web应用最为普遍的攻击手段之一。文中提出了一种新的SQL注入防护方法。该方法通过将静态模式匹配与动态特征过滤配合使用,避免单一方法存在的不足,从而达到良好的效果。该方法通过在安全环境下自动学习所有合法SQL语句,构建知识库;然后在实时工作环境下,利用模式匹配算法将SQL语句与知识库进行匹配,匹配成功则判定为合法SQL语句。对于匹配失败的SQL语句并不立即判定为非法,而是采用基于风险值的动态特征过滤算法进行深度特征检查,识别真正的非法SQL语句。基于本方法,设计并实现了一个原型系统。测试结果表明,该原型系统具有较好的性能优势,并能够很好地解决一般防注入方法带来的准确率与误报率之间的矛盾。

基于ANTLR的SQL语法分析策略与实现

以SQL预编译的构建为目的,提出一种基于ANTLR(Another Tool for Language Recognition)的SQL预编译设计模型。模型从编译原理的角度出发,采用扩展的巴科斯范式EBNF(Extended Backus-Naur Form)定义SQL文法规则。在定义文法规则时,兼顾了SQL语言的特点和ANTLR识别器的工作原理,提出两层分析、嵌入Java语言的设计策略;在语法解析时,通过借鉴树编辑距离的相关研究成果,将目标代码和用户代码进行映射,实现了语法树异同点的检测。

基于抽象语法树的C#源代码SQL注入漏洞检测算法

SQL注入攻击是数据库安全的主要威胁.SQL注入攻击被列为OWASP(open Web application security project)2010年和2013年十大Web应用系统安全威胁之首.SQL注入攻击检测及防御是目前常见的研究热点,结合抽象语法树的数据传播分析及C#语言特性,提出基于规则及特征匹配的漏洞检测架构,实现了C#源代码的静态检测算法.测试结果表明该算法效果良好,简单实用,通过生成源代码的抽象语法树及追踪数据的传播途径,根据规则匹配进行检测,实现C#源代码的SQL注入漏洞检测,在开发阶段提高了代码的安全性;同时提出的漏洞检测框架可以进行拓展,实现对其他编程语言的SQL注入漏洞检测.

面向数据库性能的SQL语句解析与翻译

信息泄漏事件不断发生使得数据库安全的重要性不断提高。基于SQL解析能够实现SQL到自然语言的翻译,帮助非专业人员分析数据库的访问活动和识别风险。通过SQL词法和语法的EBNF描述构造了可以用于LL的规则输入,使用ANTLR工具生成了SQL词法和语法解析器。进一步,SQL词法和语法解析器实现了SQL语句到抽象语法树的转换。并通过解析抽象语法树,将SQL语句翻译成自然语言。最后,将SQL解析和翻译功能应用在数据库防火墙和安全审计系统中。

扩展SQL语句操纵空间数据方法研究

在GIS中对空间数据库的操作,难点在于采用统一的查询语言SQL对空间数据的操纵。该问题的实现需要对现有SQL语言进行扩展,使之能够识别和处理对空间数据进行操纵的语句。本文围绕分析空间查询语句结构的全过程,采用中间件对标准的SQL语言功能进行扩展。提出了一种以语法树生成原理实现标准SQL语句和扩展SQL语句的分析和进行功能分解的具体方法,展示了以中间件封装空间操作的SQL词法分析、SQL语法分析的具体实现,并给出了具体的算例。本文提出的方法为进一步研究与开发空间查询语言,空间数据操纵语言的实现提供了基础。

基于SQL语法树的SQL注入过滤方法研究

Web应用的发展,使其涉及的领域也越来越广。随之而来的安全问题也越来越严重,尤其是SQL注入攻击,给Web应用安全带来了巨大的挑战。针对SQL注入攻击,将基于SQL语法树比较的安全策略引入用户输入过滤的设计中,提出了一种新的SQL注入过滤方法。实验结果表明,该方法能够有效地防止SQL注入攻击,并有较高的拦截率和较低的误报率。

基于代理模式的SQL注入过滤方法

针对Web安全中的SQL注入问题,提出了一种新的SQL注入过滤方法——LFS(length-frequency-SQL syntax tree)过滤方法.LFS方法包括学习和过滤两个阶段,其中,学习阶段在安全的环境下,通过爬虫和数据库代理构建URL和SQL语句映射表;过滤阶段通过对URL长度、访问频率及SQL语法树这三个方面进行检测,以此实现对用户输入进行过滤,防止SQL注入攻击.仿真实验及结果分析表明LFS方法相较于传统的关键字过滤和正则表达式过滤能够更有效的防止SQL注入攻击.

基于静态分析的Java源代码SQL注入检测算法

研究了常见的SQL注入检测和源代码静态分析扫描的原理,提出Java源代码SQL注入检测算法,该算法通过对Java源代码词法分析和语法分析、建立抽象语法树、定义规则、遍历语法树和跟踪等,检测Java源代码中可能的SQL注入路径,测试结果表明,算法检测效果良好,识别率高。

基于结构和语义相似度的SQL程序评分模型

针对SQL查询程序实现多样性的问题,提出一种用于精确评估SQL程序的评分模型.首先基于通用标准的SQL语法规范标识符和命令子句,基于同义词链和抽象语法树规范表达式,将SQL程序转换成统一的中间形式,充分消除SQL程序句法和语义表达多样性带来的差异;然后,模拟人工评分思想,对标准化后的程序按评分点组成评估单元序列,采用改进的最长公共子序列算法评估代码相似度,按评分点权重计算成绩,并给出错误定位;最后,通过样例测试和分析说明了评分模型的有效性.

基于反向代理的数据库防火墙研究与应用

近年来,数据量随着互联网技术发展出现了几何式增长,作为数据载体的数据库成为企业的核心,数据库安全面临严峻的挑战;对企业而言,运维人员的素质和水平也是决定数据库安全的重要因素。为提升数据库安全,针对运维人员的误操作等现象提出了个性化的数据库安全策略,研究了数据库防火墙系统的实现。数据库防火墙系统涉及反向代理、TNS协议解析、SQL语法树等技术,实现了个性化的防护。安全策略共涉及19种对象类型、8种操作类型,同时支持Oracle数据库和MySQL数据库。实验表明,该数据库防火墙系统针对日常运维过程中不符合安全策略的SQL语句的识别率和拦截率达到98%,有效降低了数据库的运维风险。