精准SQL注入漏洞批量检测技术研究

摘要

结构化查询语言(Structured Query Language,SQL)注入漏洞是最常见也是最具破坏性的漏洞之一.由于该漏洞的检测手段单一、漏测、误报概率较大,提出一种精准SQL注入漏洞批量检测方案,能够快速有效识别被测系统中的SQL注入漏洞.该方案通过代理工具快速全面收集测试数据,有效弥补了爬虫工具在数据收集方面的不稳定性;集成SQLMAP并采用多线程并发方式对待测数据执行漏洞检测批处理任务,可充分利用系统资源.最后对测试结果进行分析快速准确定位注入点,发现所提方案具有实现代价小、运行效率高、检测结果精准的优势.