基于手工SQL注入的Web渗透测试技术研究

摘要

随着Internet的普及和计算机网络的高速发展，基于Web的三层网络架构得到了广泛的应用。越来越多的浏览器/服务器（B/S）架构的网络应用出现，也标志基于浏览器/服务器的应用系统逐渐取代基于客户端/服务器架构(C/S)的应用系统成为主流，广泛应用于小规模网络应用软件和企业级管理系统中。但由于网络攻击技术的发展速度远高于网络防御技术的更新速度，加之网络编程人员对程序细节的把控不足，致使网络攻击行为泛滥，网络应用漏洞百出，随时威胁着用户的财产安全。
　　本文提出了一种以攻击者的身份来对网络应用程序及网络架构进行评估的方法，这种方法就是渗透测试。它能够全面的探测目标网络的安全薄弱环节，为网络管理人员提供详细的渗透测试报告，对目标网络现状做出评估，并提供详尽的升级加固措施，提高目标网络系统的安全等级。其中，SQL注入攻击作为一种以攻击网络应用的数据库服务器、达到破坏网络资源或者窃取珍贵数据为目的的网络攻击，也是渗透测试的一种重要方法。介绍了渗透测试的概念与原理，并通过设计对以 Access、MySQL、MsSQL为数据库的网络应用的SQL注入实验，着重分析了对以上数据库的注入方法。在分析攻击方法之后，引入了SQL注入的代码层防御方法与应用层防御设备----Web应用防火墙（简称WAF）。最后，本文在传统的WAF防御SQL注入模块的基础上，添加了数据库选型模块，使WAF可以对不同数据库的网络应用进行针对性防御。

目录

封面

声明

中文摘要

英文摘要

目录

1 绪论

1.1 选题背景

1.2 国内外研究现状

1.3 研究意义

1.4 章节设置

2 渗透测试相关概念与原理

2.1 渗透测试的定义

2.2 进行网络渗透攻击的原因

2.3 渗透测试的种类

2.4 渗透测试的工作模式

2.5 渗透测试的工作步骤

2.6 渗透攻击的常用命令及工具汇总

2.7 本章小结

3 SQL注入实施与技术应用

3.1 渗透测试常用方法——SQL注入

3.2 SQL注入的原理

3.3 SQL注入的种类

3.4 SQL注入

3.5 本章小结

4 对网站的SQL注入实验

4.1实验环境介绍

4.2实验过程及原理

4.3渗透攻击常用命令介绍

4.4对基于ACCESS网络应用的注入实验

4.5对基于MySQL数据库的网络应用注入实验

4.6对基于MsSQL数据库的网络应用的注入实验

4.7本章小结

5 SQL注入防御技术分析及实现

5.1代码层防护

5.2应用层防护——Web应用防火墙

5.3本章小结

6 全文总结

参考文献

研究成果

致谢