基于渗透测试的SQL注入漏洞检测及防范技术研究

摘要

目前所开发建设的许多Web应用程序都存在安全漏洞，给Web系统及个人隐私等敏感数据带来较大的安全威胁。在Web应用的安全漏洞中，SQL注入漏洞是最为严重的安全风险之一。SQL注入具有存在广泛性、危害的多重性及攻击的多样性特点，SQL注入攻击者可造成网站运作受影响，严重的可能造成重大的经济损失或重要的机密内容泄露，影响对Web应用系统的正常使用。本文在对SQL注入的攻击原理和SQL注入检测和防范方法开展研究的基础上，提出一种基于SQL注入漏洞分级和模糊测试的SQL注入漏洞检测框架及SQL注入攻击分层防御模型。
　　本文首先对SQL注入攻击及Web渗透测试技术进行介绍，并对当前SQL注入攻击检测与防范方法进行分析。在此基础上，进一步对SQL注入攻击漏洞检测与防范技术进行研究，提出将模糊测试理论与漏洞分级策略相结合的改进的SQL注入攻击漏洞检测框架，同时，将Web系统客户端、服务器端的防御检测，以及数据库及系统服务器安全策略相结合，提出SQL注入攻击分层防御模型。然后，根据构建的基于SQL注入漏洞分级和模糊测试的SQL注入漏洞检测框架，设计并实现了SQL注入攻击检测模型，并对SQL注入攻击分层防御模型进行了设计与实现。最后，对构建的基于SQL注入漏洞分级和模糊测试的SQL注入漏洞检测框架及SQL注入攻击分层防御模型分别从SQL注入攻击漏洞检测效率、准确度方面，以及对SQL注入攻击的防御效能方面，进行实验论证。
　　本文利用ASP.NET、IIS服务器及Microsoft Visual Studio等开发与搭建实验环境。结合本实验的实际开发、运行以及测试环境，对建立的基于SQL注入漏洞分级和模糊测试的SQL注入漏洞检测框架与SQL注入攻击分层防御模型进行实验论证，证明本文所提出SQL注入攻击检测方法的可行性与SQL注入攻击防范方法的有效性。并与目前几种SQL注入攻击检测工具及SQL注入攻击防御方法相对比，论证本文提出的方法在检测及防御效率和检测的准确度方面具有优于已有的方法或模型。

目录

声明

摘要

第1章 绪论

1．1 研究背景及意义

1．2 国内外研究现状

1．2．1 国内研究现状

1．2．2 国外研究现状

1．3 本文的主要研究内容

1．4 论文组织及内容安排

第2章 SQL注入攻击及Web渗透测试技术

2．1 Web渗透测试技术

2．1．1 Web渗透测试原理

2．1．2 Web渗透测试过程

2．2 SQL注入攻击技术分析

2．2．1 SQL注入攻击原理

2．2．2 SQL注入攻击流程

2．2．3 SQL注入攻击方式

2．3 SQL注入攻击漏洞检测与防范技术研究

2．3．1 SQL注入攻击漏洞检测技术分析

2．3．2 SQL注入攻击漏洞防范技术分析

2．4 本章小结

第3章 SQL注入攻击漏洞检测与防范方法研究

3．1 传统SQL注入攻击漏洞检测框架分析

3．1．1 传统SQL注入攻击漏洞检测框架

3．1．2 传统SQL注入攻击漏洞检测框架存在的问题

3．2 基于SQL注入漏洞分级和模糊测试的SQL注入漏洞检测方法

3．2．1 模糊测试理论与漏洞分级策略

3．2．2 等价类与测试用例设计

3．2．3 基于SQL注入漏洞分级和模糊测试的SQL注入漏洞检测框架

3．3 当前SQL注入攻击防范方法研究

3．4 SQL注入攻击分层防御模型

3．5 本章小结

第4章 SQL注入攻击漏洞检测与防御模型

4．1 SQL注入攻击检测模型

4．1．1 SQL注入攻击检测模型设计

4．1．2 SQL注入攻击检测模型实现

4．2 SQL注入攻击防御分层防御模型的设计与实现

4．3 本章小结

第5章 实验内容及结果分析

5．1 实验环境

5．2 实验目的

5．3 实验内容及数据分析

5．3．1 检测用Web网站搭建

5．3．2 SQL注入攻击漏洞检测对比工具及实验数据

5．3．3 SQL注入漏洞分层防御方法实验结果及分析

5．4 本章小结

结论

参考文献

攻读硕士学位期间发表的刊物和取得的科研成果

个人简历

致谢