SQL注入攻击与防御技术研究

doi:10.3969/j.issn.1671-1122.2015.09.030

信息网络安全 ›› 2015, Vol. 15 ›› Issue (9): 129-134.doi: 10.3969/j.issn.1671-1122.2015.09.030

SQL注入攻击与防御技术研究

刘文生¹(), 乐德广², 刘伟¹

1. 泉州市公安局公共信息网络安全监察支队,福建泉州 362000
2. 常熟理工学院计算机学院,江苏苏州 215500

收稿日期:2015-07-15 出版日期:2015-09-01 发布日期:2015-11-13
作者简介:
作者简介：刘文生（1968-）,男,福建,工程师,本科,主要研究方向：计算机网络安全防范;乐德广（1975-）,男,福建,副教授,博士,主要研究方向：信息安全与计算机安全;刘伟（1985-）,男,江苏,本科,主要研究方向：数据加密与解密。
基金资助:
国家自然科学基金[61202440,61170124]

Research on SQL Injection Attack and Defense Technology

Wen-sheng LIU¹(), De-guang LE², Wei LIU¹

1. Quanzhou Public Security Bureau Public Information Network Security Supervision Detachment, Quanzhou Fujian 362000, China
2. Changshu Institute of technology, Suzhou Jiangsu 215500, China

Received:2015-07-15 Online:2015-09-01 Published:2015-11-13

摘要/Abstract

摘要：

随着计算机网络技术的飞速发展,人们对无处不在的网络依赖程度越来越高,随之而来的一系列网络安全问题也越来越受到人们的重视。目前,SQL注入攻击已成为了黑客攻击的主要手段之一。文章介绍了SQL注入原理,对产生SQL注入原因以及实战中遇到的常见SQL注入攻击方式进行了深入研究,并在实际渗透测试的实践基础上提出一种新的SQL注入检测技术及工具实现,为日后测试SQL注入攻击提供有力的技术支持,为信息系统在SQL注入防御方面提供有力保障。

关键词: SQL注入攻击, 渗透测试, 防御

Abstract:

With the rapid development of computer network technology, the human is more and more reliance on the ubiquitous network, and a series of network security problem that make people pay more attention on it. At present, the SQL injection attack has become one of the primary means of hacking by hackers. This paper introduces the principle of SQL injection, depth study on the cause of SQL injection and actual combat encounter common SQL injection attack, proposed a new SQL injection detection techniques and tools to achieve in practice on the basis of actual penetration testing, and provides strong technical support for future testing SQL injection attacks or provides powerful guarantee for the information system in the SQL injection defense.

Key words: SQL injection attack, penetration testing, defense

中图分类号:

TP309

刘文生, 乐德广, 刘伟. SQL注入攻击与防御技术研究[J]. 信息网络安全, 2015, 15(9): 129-134.

Wen-sheng LIU, De-guang LE, Wei LIU. Research on SQL Injection Attack and Defense Technology[J]. Netinfo Security, 2015, 15(9): 129-134.

图/表 10

图1

图2

图3

图4

图5

图6

图7

图8

图9

表1

参考文献 14

[1]	隋亮. 基于渗透测试的SQL注入漏洞检测与防范[D]. 上海:东华大学,2014.
[2]	GOULD C, SU Z, DEVANBU P.JDBC Checker: A Static Analysis Tool for SQL/JDBC Applications[C]//In Proceedings of the 26th International Conference on Software Engineering (ICSE2004), IEEE Computer Society, Los Alamitos, USA, 2004: 697-698.
[3]	田玉杰,赵泽茂,王丽君,等. 基于分类的SQL注入攻击双层防御模型研究[J]. 信息网络安全,2015,(6):1-6.
[4]	HALFOND W G J, ORSO A. AMNESIA: Analysis and Monitoring for Neutralizing SQL-Injection Attacks[C]//In Proceedings Of the 20th IEEE and ACM International Conference on Automated Software Engineering (ASE2005), Long Beach, California, USA, 2005:174-183.
[5]	AMORIM AAD, COLLINS N, DEHON A, et al.A Verified Information-Flow Architecture[C]//In Proceedings Of 41st ACM SIGPLAN-SIGACT Symposium on Principles of Programming Languages (POPL2014), San Diego, CA USA. 2014: 165-178.
[6]	NGUYEN-TUONG A, GUARNIERI S, GREENE D, et al.Automatically hardening web applications using precise tainting[C]//In Proceedings of the 20th IFIP International Information Security Conference, Makuhari-Messe, Chiba, Japan, 2005: 372-382.
[7]	杨玉龙,彭长根,周洲. 基于同态加密的防止SQL注入攻击解决方案[J]. 信息网络安全,2014,(1):30-33.
[8]	周琰. SQL注入检测方法的研究与实现[D]. 西安:西北大学,2011.
[9]	王一飞. 陌生网络边界防火墙规则配置方法研究[J]. 信息网络安全,2014,(9):161-164.
[10]	林世鑫. 基于SQL注入的Web数据安全防范与优化[J]. 电脑知识与技术,2014,(10):2184-2187.
[11]	张令通,罗森林,冯帆. 基于Windows环境的SQL注入攻击检测系统设计与实现[J]. 信息网络安全,2014,(7):16-19.
[12]	李晓龙. 基于SQL注入攻击的三种防御技术[J]. 湖北文理学院学报,2013,(5):18-21.
[13]	韦存堂,赵晶玲,崔宝江. 基于代理模式的SQL注入漏洞检测技术研究[J]. 信息网络安全,2014,(11):66-69.
[14]	王永生. 基于Web应用的SQL注入攻击入侵检测研究[D]. 郑州:郑州大学,2012.

[1]	岳巧丽, 吕万波, 胡卫宏, 张海阔. 基于DNS应答价值评估的DDoS防御研究[J]. 信息网络安全, 2019, 19(9): 56-60.
[2]	朱维军, 樊永文, 班绍桓. 动态虚拟MSISDN的拟态自动机模型与安全性验证方法[J]. 信息网络安全, 2018, 18(4): 15-22.
[3]	张家伟, 张冬梅, 黄偲琪. 一种抗APT攻击的可信软件基设计与实现[J]. 信息网络安全, 2017, 17(6): 49-55.
[4]	李恒, 沈华伟, 程学旗, 翟永. 网络高流量分布式拒绝服务攻击防御机制研究综述[J]. 信息网络安全, 2017, 17(5): 37-43.
[5]	徐洋, 陈燚, 何锐, 谢晓尧. SDN中DDoS检测及多层防御方法研究[J]. 信息网络安全, 2017, 17(12): 22-28.
[6]	程三军, 王宇. APT攻击原理及防护技术分析[J]. 信息网络安全, 2016, 16(9): 118-123.
[7]	马书磊, 田洪娟, 刘丰. 一种基于龙芯平台的安全防护网关设计与实现[J]. 信息网络安全, 2016, 16(9): 196-201.
[8]	李鑫, 张维纬, 隋子畅, 郑力新. 新型SQL注入及其防御技术研究与分析[J]. 信息网络安全, 2016, 16(2): 66-73.
[9]	史婷婷, 赵有健. 网络入侵逃逸及其防御和检测技术综述[J]. 信息网络安全, 2016, 16(1): 70-74.
[10]	刘伟, 李泉林, 芮力. 一种入侵防御系统性能分析方法[J]. 信息网络安全, 2015, 15(9): 46-49.
[11]	田玉杰, 赵泽茂, 王丽君, 连科. 基于分类的SQL注入攻击双层防御模型研究[J]. 信息网络安全, 2015, 15(6): 1-6.
[12]	王小山, 杨安, 石志强, 孙利民. 工业控制系统信息安全新趋势[J]. 信息网络安全, 2015, 15(1): 6-11.
[13]	黄长慧，王海珍，陈思. 基于自相似流量检测的DDoS攻击及防御研究[J]. 信息网络安全, 2014, 14(9): 69-71.
[14]	王东霞，冯学伟，赵刚. 动目标防御机制[J]. 信息网络安全, 2014, 14(9): 98-100.
[15]	. 基于端口和编号的漏洞代码匹配方法研究[J]. , 2014, 14(4): 20-.

SQL注入攻击与防御技术研究

Research on SQL Injection Attack and Defense Technology

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 10

参考文献 14

相关文章 15

编辑推荐

Metrics

本文评价