基于AOP与SQL结构分析的SQLIAs动态检测及防御

摘要

SQL注入攻击(SQLIAs)是一种危险且有效的基于Web的攻击方式.任何形式的SQLIAs最终都会改变原有SQL语句的逻辑结构,针对该攻击特征,提出一种基于AOP与SQL语句结构分析的SQLIAs动态检测及防御方法,在SQLIAs产生根源对其进行防御.借助代码静态分析工具自动获取SQL注入点位置、Signature信息以及静态SQL语句模型,使用AOP技术在程序执行过程中动态捕获需要被执行的SQL语句,将静态分析得到的信息与动态获取的信息进行比较,判断是否存在SQLIAs.通过简单的用户登录功能验证该方法的有效性,实验结果表明,该方法能有效检测和防御SQLIAs.