Web應(yīng)用二階SQL注入漏洞檢測方法研究.pdf

1、Web應(yīng)用二階應(yīng)用二階SQL注入漏洞檢測方法研究注入漏洞檢測方法研究ResearchonDetectionMethodofSecondderSQLInjectionVulnerabilityinWebApplications學(xué)科專業(yè)：計算機技術(shù)研究生：閆璐指導(dǎo)教師：李曉紅教授企業(yè)導(dǎo)師：鄭平正高工天津大學(xué)計算機科學(xué)與技術(shù)學(xué)院二零一三年十一月摘要隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，web應(yīng)用在各種業(yè)務(wù)領(lǐng)域得到了廣泛的應(yīng)用，大量存儲數(shù)據(jù)信息的web應(yīng)用

2、被開發(fā)來提供各種服務(wù)，而安全漏洞卻對快速發(fā)展的web應(yīng)用構(gòu)成了嚴(yán)重的安全威脅。SQL注入是眾多web應(yīng)用安全漏洞中典型且危害嚴(yán)重的一種，許多有效的方法和工具被提出用于檢測和阻止一階SQL注入，然而對于將用戶輸入存儲在后端數(shù)據(jù)庫的二階SQL注入，卻缺乏準(zhǔn)確有效的檢測方法。本文通過對二階SQL注入原理、過程的深入分析，抽象出二階SQL注入的形成過程，并在此基礎(chǔ)上提出一種綜合使用靜態(tài)和動態(tài)方法檢測二階SQL注入漏洞的方法。靜態(tài)分析部分，該方法

3、首先分析源代碼，抽取出代碼中的SQL語句和列名，并根據(jù)代碼中的信息為每個列名創(chuàng)建數(shù)據(jù)項，然后通過識別準(zhǔn)則進(jìn)行匹配找到源代碼中可能存在二階SQL注入漏洞的數(shù)據(jù)項序組；動態(tài)測試部分，對可能存在漏洞的數(shù)據(jù)項序組進(jìn)一步進(jìn)行確認(rèn)，首先將數(shù)據(jù)項序組轉(zhuǎn)化為有效的測試序列，并生成進(jìn)行測試的惡意輸入，最后整合惡意輸入和測試序列進(jìn)行測試，根據(jù)系統(tǒng)響應(yīng)確定漏洞的存在。最后本文使用四個web應(yīng)用對方法的有效性和可行性進(jìn)行評估，實驗結(jié)果表明本方法能準(zhǔn)確有效地檢測