返回
SQL注入攻击及其防范检测技术的研究

SQL注入攻击及其防范检测技术的研究

ID:44290387

大小:40.50 KB

页数:4页

时间:2019-10-20

SQL注入攻击及其防范检测技术的研究_第1页
SQL注入攻击及其防范检测技术的研究_第2页
SQL注入攻击及其防范检测技术的研究_第3页
SQL注入攻击及其防范检测技术的研究_第4页
资源描述:

《SQL注入攻击及其防范检测技术的研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、SQL注入攻击及其防范检测技术的研究SQL注入攻击及其防范检测技术的研究摘要:伴随信息技术的发展,网络的应用日益广泛,市于网络风险的无处不在,人们对网络安全的重视程度也越来越高。目前,针对Web应用系统的攻击已成为网络安全攻防新焦点,而在Web应用系统的所有攻击中,SQL注入攻击则成为Web应用系统的严重安全隐患。为了给网络用户提供一个安全的网络环境,我们有必要对SQL注入攻击进行了解,并积极做好防范准备。关键词:SQL注入攻击;检测技术:防范技术中图分类号:TP393.081SQL注入攻击简介1.1SQL注入概念SQ

2、L注入就是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,这是SQL注入的标准释义。SQL注入(SQLInjection)技术在国外最早出现在1999年,我国在2002年后开始大量出现。随着B/S模式应用开发的发展,技术开发人员采用SQL注入模式来编写应用程序越来越多,但是很多程序员由于经验问题或者疏忽,在编写代码的过程中,对丁用户的输入数据没有进行合法性的判断,使程序出现安全隐患[1-3]o1.2SQL注入攻击的过程SQL注入利用的是正常的HTTP服务端口,表面上看来和正常的web访问没有区别

3、,隐蔽性极强,不易被发现。SQL注入攻击可以简单分为五步进行操作。(1)事先判断在该Web开发环境中是否容易进行SQL注入。例如,仅仅是对网页的静态访问,则不存在SQL注入的问题,只有对后台数据库进行了动态的查询访问才会有可能带来SQL注入;(2)当可以进行SQL注入时,要对SQL注入点进行寻找,通过输入语句,根据反悔的信息来判断注入点,对一些注入漏洞进行查找;(3)是通过对用户名和密码进行猜解、破译。在数据库的建立是有规律的,可以通过网上的注入工具对表名、字段名、用户名定义和密码进行查找,并借助破解软件轻易获得用户名

4、和密码;(4)对Web后台进行突破,寻找SQL注入入口。一般情况下,Web的管理后台是不向普通用户开放,但是可以用地址扫描工具对后台登陆的路径依次进行扫描,可以找到后台入口;(5)通过入侵和暴力破坏的方式。当入侵到系统内部,就可以肆意的进行网页篡改、修改、复杂信息,对数据库服务器造成破坏[4]。2SQL注入攻击的特点和危害2.1SQL注入攻击的特点SQL注入攻击已成为Web应用系统主要安全隐患,其安全风险已经高于缓冲区溢出漏洞,为此我们有必要对SQL注入攻击的特点进行了解:(1)攻击范围广泛。SQL注入攻击利用的是SQ

5、L语法,在应用程序中没有对SQL语句强调合法性、严谨性,则会带来SQL注入漏洞,当前的系统主要釆用的是JAVA、PHP、Perl语言与SQL、DB2、Sybase、Oracle数据库相结合的,在这些系统中均存在SQL注入漏洞;(2)SQL的注入攻击技术简单。当SQL技术出现后,就出现了多款SQL注入工具,这些工具都能实现将SQL注入到网站中或者对应用程序进行攻击破坏;(3)SQL注入危害大。SQL注入可以使网页的内容进行更改,严重的能够盗窃公司的重要数据,对企业造成经济损失[5]。2.2SQL注入攻击的主要危害在计算机

6、技术高速发展的今天,越来越让人们头疼的是面临越来越“变态”和复杂的威胁网站技术,通过在网络上进行各种有意和无意的破坏来达到信息的窃取、宽带的占用和宣传某些信息等。在进行这些活动时,是在未经用户允许的情况下进入用户执行的程序中或者硬盘上,在不知不觉中进行了一系列的危害操作。SQL注入攻击的主要危害主要包括:非法读取、篡改、添加、删除数据库中的数据;盗取用户的各类敏感信息,获取利益;通过修改数据库来修改网页上的内容;私自添加或删除账号;注入木马;等等。由于SQL注入攻击一般利用的是利用的是SQL语法,这使得于所有基于SQL

7、语言标准的数据库软件,如SQLServer,Oracle,MySQL,DB2等都有可能受到攻击,并且攻击的发生和Web编程语言木身也无关,如ASP、JSP、PHP,在理论上都无法完全幸免。SQL注入攻击的危险是比较大的。很多其他的攻击,如DoS等,可能通过防火墙等手段进行阻拦,但是而对于SQL注入攻击,由于注入访问是通过正常用户端进行的,所以普通防火墙对此不会发出警示,一般只能通过程序来控制,而SQL攻击一般可以直接访问数据库进而甚至能够获得数据库所在的服务器的访问权,因此,危害相当严重[6]。3SQL注入攻击的检测与

8、防范为了给个体、企业甚至是国家提供一个安全的网络环境,我们有必要对Web应用系统存在重大安全威胁的SQL注入攻击进行检测并采取防范的对策。3.1对SQL注入攻击的检查方法SQL注入攻击的检查方法主要分为入侵前和入侵后,对于入侵前检查,既可以用手动的方式也可以用软件工具的方式来进行检测,起到的是预防作用;而对于入侵后的检查主要是对日

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。