【SQL开源代码栏目提醒】:网学会员为需要SQL开源代码的朋友们搜集整理了谈SQL注入攻击的种类及其防范措施 - 其它论文相关资料,希望对各位网友有所帮助!
谈注入攻击的种类及其防范措施一唐绍华摘要应用的发展使网站产生越来越重要的作用而越来越多的网站在此过程中也因为存在安全隐患而遭受到各种攻击。
在那些黑客的眼里网站并非是一个提供互联网服务和信息交流的平台反而成为可以被低成本利用荻取价值途。
文章讨论了注入攻击的种类并给出了相应防御和检查措施。
关键词应用注入一、引育具不完全统计近年来中国大陆网站入侵导致网页被篡改成倍增长年仅网页篡改已经是年的倍达到这还不包含未被官方披露的数字。
究其原因大多数网站设计只考虑正常用户稳定使用。
有实验表明通过搜寻个网站取样检测到有存在注入漏洞。
站防御措施过于落后甚至没有真正的防御。
大多数防御传统的基于特征识别的入侵防御技术或内容过滤技术对保护网站抵御黑客攻击的效果不佳。
导致目前有很多黑客将注入成为入侵网站的首选攻击技术之一。
基于应用层构建的攻击防火墙更是束手无策。
二、注入攻击的种类一没有正确过滤转义字符在用户的输入没有为转义字符过滤时就会发生这种形式的注入式攻击它会被传递给一个语句。
这样就会导致应用程序的终端用户对上的语句实施操纵。
下文的这行
代码就会
演示这种漏洞??’。
。
’这种
代码的设计目的是将一个特定的用户从其用户表中取出但是如果用户名被一个恶意的用户用一种特定的方式伪造这个语句所执行的操作可能就不仅仅是
代码的作者所期望的那样了。
例如将用户名变量即设置为’此时原始语句发生了变化??’如果这种
代码被用于一个认证过程那么这个例子就能够强迫选择一个合法的用户名因为赋值永远是正确的。
在一些服务器上如在中任何一个命令都可以通过这种方法被注入包括执行多个语句。
下面语句中的的值将会导致删除“峨”表又可蹦从“”表中选择所有的数据实际上就是透露每一个用户的信息。
’这就将最终的语句变成以下形式一??’其他的执行不会将执行同样查询中的多个命令作为一项安全措施。
这会防止攻击者注入完全独立的查询不过却不会阻止攻击者修改
查询。
二如果一个用户提供的字段并非一个强类型或者没有实施类型强制就会发生这种形式的攻击。
当在一个语句中使用一个数字字段时如果程序员没有检查用户输入的合法性是否为数字型就会发生这种攻击。
例如”??’”’”从这个语句可以看出作者希望是一个与“”字段有关的数字。
不过如果终端用户选择一个字符串就绕过了对转义字符的需要。
例如将设置为它会将“”表从数据库中删除语句变成??三数据库服务器中的漏洞有时数据库服务器软件中也存在着漏洞如服务器中函数漏洞。
这种漏洞允许一个攻击者根据错误的统一字符编码执行一次成功的注入式攻击。
四盲目注入式攻击当一个应用程序易于遭受攻击而其结果对攻击者却不见时就会发生所谓的盲目注入式攻击。
有漏洞的网页可能并不会显示数据而是根据注入到合法语句中的逻辑语句的结果显示不同的内容。
这种攻击相当耗时因为必须为每一个获得的字节而精心构造一个新的语句。
但是一旦漏洞的位置和目标信息的位置被确立以后一种称为的工具就可以使这种攻击自动化。
五条件响应注意有一种注入迫使数据库在一个普通的应用程序屏幕上计算一个逻辑语句的值。
’这会导致一个标准的面面。
而语句????在页面易于受到注入式攻击时它有可能给出一个不同的结果。
如此这般的一次注入将会证明盲目的注入是口丁能的它会使攻击者根据另外一个表中的某字段内容设计可以评判真伪的语句。
六条件??错’如果语句为真这种类型的盲目注入会自使数据库平判一个引起错误的语句从而导致一个错误。
侈啦口—??’。
显然如果用户存在的话被零除将导致错误。
七时间延误时间延误是一种盲目的注入根据所注入的逻辑它可以导致引擎执行一个长队列或者是一个时间延误语句。
攻击者可以衡量页面加载的时间从而决定所注入的语句是否为真。
以上仅是对攻击的粗略分类。
但从技术上讲如今的注入攻击者们在如何找出有漏洞的网站方面更加聪万方数据明也更加全面了。
出现了一些新型的攻击手段。
黑客们可以使用各种工具来加速漏洞的利用过程。
木马主要通过一个发布邮件的僵尸网络来传播整个过程可以这样描述首先其通过受到控制的主机发送的垃圾邮件将此木马安装到电脑上然后受到此木马感染的电脑会下载一段二进制
代码在其启动时它会使用搜索引擎搜索用的技术建立表单的、有漏洞的网站。
搜索的结果就成为注入攻击的靶子清单。
然后这个木马会向这些站点发动注入式攻击使有些网站受到控制、破坏。
访问这些受到控制和破坏的网站的用户将会受到欺骗从另外一个站点下载一段恶意的
代码。
最后这段
代码将用户指引到第三个站点这里有更多的恶意软件如窃取口令的木马。
以前我们经常警告或建议应用程序的程序员们对其
代码进行并打补丁虽然注入漏洞被发现和利用的机率并不太高。
但近来攻击者们越来越多地发现并恶意地利用这些漏洞。
因此在部署其软件之前开发人员应当更加主动地测试其
代码并在新的漏洞出现后立即对
代码打补丁。
三、防御和检查措施’上接第页’过市场拓展产业链的方式特别在我国加入后显得尤为重要。
五构建产业链协调机制提升综合竞争力产业链条上各个节点的分工与协作是整个产业的良性发展前提。
农产品由于其自身易腐性、生产的周期性、产品数量和质量的不稳定性、原料质量对加工产质量的特珠性等在供应商、生产商和加工商之间的关系协调上比单纯地进行市场开拓更能提高整体的效率。
就目前土家族地区分散生产的格局生产中更多是竞争的关系如何协调各生产环节的合作强化各生产环节的利益共享显得尤其重要。
通过产业链条协调机制的构建在农业产业链拓展的中提高各经济主体的作合作能力使农业内部的产业结构得到优化重组提高产业的牵动效应真正使农业的种养加、农工贸成为一体使农业的广度效益充分发挥出来从而达到提高农第一使用参数化的过滤性语句。
要防御注入用户的输入就绝对不能直接被嵌入到语句中。
恰恰相反用户的输入磐须进行过滤或者使用参数化的语句。
参数化的语句使用参数而不是将用户输人嵌入到语句中。
在多数情况中语句就得以修正。
然后用户输入就被限于一个参数。
下面是一个使用和例子。
—”。
总体上讲有两种方法可以保证应用
程序不易受到注入的攻击一是使用
代码复查二是强迫使用参数化语句的。
强迫使用参数化的语句意味着嵌入用户输入的语句在运行时将被拒绝。
不过目前支持这种特性的并不多。
如数据库引擎就支持。
第二还要避免使用解释程序因为这正是黑客们借以执行非法命令的手段。
第三防范注入还要避免出现一些详细的错误消息因为黑客们可以利用这些消息。
要使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。
二第四使用专业的漏洞扫描工具。
但业整体效益的目的。
由于农业产业链的拓展促进了第二、三产业的发展必然加快对农村富余劳动力吸纳从而了扩大农民
就业与增效空间增强了农业综合竞争能力。
六建设龙头企业增强抗风险能力农业产品加工的龙头企业是联系农户与消费的纽带在农业经济发展中占有牵一发而动全身的战略地位加工业上不去粮食经济就搞不活畜牧业也难以有大的发展农民增收和财力增强的目标就很难实现。
特别是在相对闭塞的民族地区只有通过加工龙头带动作用些具有特色和优势产业的链条才得以形成。
通过加工业的发展促进市场建设用繁荣的市场来刺激和引导加工业的发展带动产、供、加、销体化经营而加工业的发展又能极大地带动农业、商业及服务业的发展使第一、二、三产业互为条件协调发展有序地传递效益。
实现产业链条的层层增值从而增强农业抗风险的能力。
防御注入攻击也是不够的。
攻击者们目前正在自动搜索攻击目标并实施攻击。
其技术甚至可以轻易地被应用于其他的架构中的漏洞。
企业应当投资于一些专业的漏洞扫描工具。
一个完善的漏洞扫描程序不同于网络扫描程序它专门查找网站上的注入式漏洞。
最新的漏洞扫描程序可以查找最新发现的漏洞。
第五企业要在应用程序开发过程的所有阶段实施
代码的安全检查。
要在部署应用之前实施这种措施的意义比以前更大、更深远。
企业还应当在部署之后用漏洞扫描工具和站点监视工具对网站进行测试。
、参考文献、殷正国针对注射攻击的一种集成防御略南京理工大学。
、孙志岗李扎王宇颖网络应用
软件健壮性测试方法研究【丌计算机工程与科学、徐鑫涛浅析注入攻击中国科技信息、年月之十大安全漏洞网络安全技术与应用作者单位湖南工程职业技术学院。
作者为工程师总之在土家族聚居的武陵【区拓展农业产业链加快传统农业向现代农业的转变就目前的基础和条件无论是改善基础设施、建立协调机制还是改变资金、技术、人才、农民的思想观念政府的作用都显得十分重要。
参考文献、李翔廷长农业产业链条农业现代化的破冰之履农业经济、王国才供应链管理与农业产业链关系初探田科学学与科学技术管理、王凯韩纪琴农业产业链管理初探中国农村
经济、赵绪福王雅鹏农业产业链、产业化、产业体系的区别与联系Ⅱ农村经济★本文为国家社科基金“农业产业链拓晨促进民族地区经济社会持续发展研究一以土家族聚居区为例”的阶段性成果。
作者单位吉首大学马克思主义学院巾国囊协经齐塑鱼—匝矗万方数据谈
SQL注入攻击的种类及其防范措施作者唐绍华作者单位湖南工程职业技术学院刊名中国集体经济英文刊名ZHONGGUO JITI JINGJI年卷期200818被引用次数0次 1.殷正国 针对
SQL注射攻击的一种集成防御策略 20072.孙志岗.李扎.王宇颖 网络应用软件健壮性测试方法研究期刊论文-计算机工程与科学 2005043.徐鑫涛 浅析
SQL注入攻击期刊论文-中国科技信息 2007014.NSFOCUS 2007年5月之十大安全漏洞 200706 1.学位论文 刘楠 一种Web应用安全增强方案 2007 信息社会的到来给全球带来了信息技术飞速发展的契机信息技术的应用引起了人们生产方式、生活方式和思想观念的巨大变化极大地推动了人类社会的发展和人类文明的进步把人类带入了崭新的时代。
随着计算机及网络通信技术的迅猛发展如今的互联网已经成为触及全球任何角落的开放的网络为人们带来了实时性、方便性、快捷性及低成本性。
但是由于诸多方面因素的影响网络安全问题日益突出并逐渐成为一个热点问题而且也越来越受到关注。
本文关注的点即是Web和Web应用的安全问题目的旨在通过介绍、分析和研究Web和Web应用相关的安全问题提出一种新的Web应用安全的增强解决方案以提高已经开发完成的Web应用抵御Web攻击的能力和水平。
这一新的Web应用安全增强方案相比与现行的Web应用安全解决方案具有易于部署、配置灵活、针对性强等优点。
在第一章介绍了目前互联网中安全
问题的现状以充分说明研究Web安全的意义第二章中对目前已知的Web及Web应用安全进行了详细的分类、介绍、分析以及举例接下来在第三章中着重对本文要解决的Web应用的安全问题进行了更进一步的介绍和说明随后在第四章中引出了本文的解决方案从提出、设计到根据设计使用
Java语言和AOP技术实现了这一旨在改进现有解决
方案不足的新的解决方案最后还与现行的Web应用安全解决方案进行了比较第五章结论中说明通过以上数章的分析陈述可以证明本文提出的这一新的增强Web应用安全的解决方案是可行、有效、实用的。
2.期刊论文 郑理华.刘真.李宗伯.ZHENG Li-hua.LIU Zhen.LI Zong-bo 基于恶意注入和行为监控的
SQL注入安全测试和评估 -株洲工学院学报2006204
SQL注入是黑客使用的一种攻击方式该攻击主要通过WEB应用来获取、操纵、伪造或删除WEB应用后端的关系型数据库.论述了
SQL注入的原理和方法研究如何生成一个
SQL注入自动探测和评估工具及关键技术并讨论了一定数量的软件测试方法包括黑盒测试、恶意注入和行为监控.3.期刊论文 朱辉.沈明星.李善平.ZHU Hui.SHEN Ming-xing.LI Shan-ping Web应用中
代码注入漏洞的测试方法 -
计算机工程20103610 研究Web应用中的
代码注入漏洞总结分析该类漏洞的特征修正并扩展其定义把漏洞的产生原因归纳为2类编码错误.提出一套通过识别2类编码错误发现Web应用中
代码注入漏洞的测试方法.实验结果证明该方法可减少测试
工作量能全面有效地测试Web应用中的
代码注入漏洞和潜在的风险点.4.期刊论文 蒋继娅.刘彤.王树威.JIANG Ji-ya.LIU Tong.WANG Shu-wei Web应用中的
SQL注入攻击与防护方案研究 -计算机安全20085
SQL注入是Web应用中常见的一种攻击方法危害性极大网络开发工程师通过严密的编程和设计可以避免该类攻击的发生.该文介绍了
SQL注入的攻击方法并提出了一个基于
JSPtomcat5
SQL Server 2000应用的防护模型经过适当修改也可以用于其他类型的Web应用中.5.期刊论文 余志高.周国祥 Web应用中
SQL注入攻击研究 -信息安全与
通信保密20104
SQL注入攻击是一种利用客户端用户提交数据构成查询语句而没有对潜在有害字符进行处理就在Web应用后台数据库中执行从而产生与应用预期不同结果的一种攻击手段.在Internet或企业内部
网络中对Web应用中进行
SQL注入攻击大量存在.这种攻击手段很容易被攻击者利用但是只要对web应用采取合理的安全防护措施就可以阻止
SQL注入的发生或减少攻击造成的损失.6.学位论文 齐振宇 Web应用漏洞扫描器IMIScaner 2008 随着Web技术的普及Web漏洞检测越来越成为研究的热点。
本文介绍了Web应用系统的漏洞与危害研究了Web应用系统漏洞检测的原理、实现技术其中重点研究了
SQL注入和跨站点脚本漏洞。
在此基础上设计了一个基于网络的Web应用漏洞扫描器--IMIScaner并实现了系统原型。
目前已有的一些扫描系统还不太完善有些系统依然采用被动的基于主机的扫描方式有些
系统扫描速度慢存在死角有些系统则是漏洞规则
设计针对性不强扫描效率低下。
科学、高效、准确地测试Web应用的安全性十分必要是所有Web应用系统所面临的共同难题。
基于强关联的遍历模型自动、完整、全面地遍历整个Web应用同时提取Web应用协议数据这些协议数据能够帮助理解整个Web应用有助于发现Web应用的未知漏洞。
根据对遍历结果的分析发现漏洞和交互单元的属性是强关联的关系这也为漏洞规则设计和攻击参数的自动生成提供了依据。
本文将等价类的思想引入到规则库的设计中力求做到全面同时为了解决漏洞库更新滞后的问题本检测系统提出了一种动态的反馈机制此机制可以不断更新规则并淘汰掉不经
常用的规则力求做到及时更新。
因此在漏洞扫描的核心-漏洞规则库的设计中具有一定新意。
本系统实现了对
SQL注入和跨站点脚本漏洞的扫描与检测最后对系统原型进行了测试证明了设计的可行性和检测参数设计的合理性。
7.会议论文 尹虹.李宗伯 WEB应用中的
SQL注入漏洞的测试与实现 2005 在
web应用中
SQL注入是一种常见的漏洞。
如果存在
SQL注入漏洞很可能会查询出本不该提供给用户的信息造成重要信息泄漏。
用户也有可能获取本不应该属于他的权限从而修改、删除数据库中的记录。
本文着重分析了
SQL 注入的原理并实现了测试
SQL 注入的方法。
8.期刊论文 雷军程.刘水强.伍雁鹏.朱鸿鹏.朱奕辉.LEI Jun-cheng.LIU Shui-qiang.WU Yan-peng.ZHU Hong-peng.ZHU Yi-hui 网络Web应用安全故障分析与应对措施 -邵阳学院学报自然科学版200964 本文首先分析Web应用安全问题产生的根源以及常见的网络入侵手段.然后以邵阳学院网站为例给出应对措施.9.学位论文 彭寒 Web应用安全漏洞测试工具Punks 2007 Web应用的安全已经成为目前网络安全界关注的焦点如何在短时间内集中而快速的发现Web应用中的大量的安全漏洞越来越为安全专家所重视。
本文在这样的背景下研究了Web应用安全漏洞的种类和危害并对静态漏洞检测技术和动态漏洞检测技术进行了比较和评价指出动态漏洞测试技术是最适合于Web应用的安全漏洞测试的方法。
在此基础上我们了一个Web应用安全漏洞测试工具Punks。
Punks的爬行模块来源于对
开源的网络爬虫软件Havestman的改写达到了高性能的多线程爬行。
为了提高性能我们了一个具有队列缓冲机制和多线程机制支持的注入/分析组件并把改写后的网络爬行组件和它很好的集成实现了一个高性能的Web应用安全漏洞测试工具。
10.期刊论文 刘彬.LIU Bin
SQL注入式攻击分析 -电脑知识与技术2009514 计算机网络的飞速发展使得人们对于网络安全越来越关注.随着多起
SQL注入式攻击案例的出现.大家已经开始逐步的关心这类问题.该文针对当今的
SQL注入式攻击的特点进行阐述.对大家认清
SQL注入式攻击有一定的参考价值. 本文链接http://d.g.wanfangdata.com.cn/Periodical_zgjtjj200818087.aspx授权使用上海海事大学wflshyxy授权号44337642-531c-47b1-b784-9dc500cc1b7b下载时间2010年8月1日