二阶SQL注入攻击防御模型

doi:10.3969/j.issn.1671-1122.2014.11.012

信息网络安全 ›› 2014, Vol. 14 ›› Issue (11): 70-73.doi: 10.3969/j.issn.1671-1122.2014.11.012

二阶SQL注入攻击防御模型

田玉杰(), 赵泽茂, 张海川, 李学双

杭州电子科技大学通信工程学院,浙江杭州 310008

收稿日期:2014-10-16 出版日期:2014-11-01 发布日期:2020-05-18
作者简介:
作者简介：田玉杰（1987-）,男,山东,硕士研究生,主要研究方向：信息安全;赵泽茂（1965-）,男,四川,教授,博士,主要研究方向：信息安全与密码学;张海川（1989-）,男,安徽,硕士研究生,主要研究方向：信息安全;李学双（1989-）,男,河南,硕士研究生,主要研究方向：信息安全。
基金资助:
浙江省自然科学基金杰青团队项目[R109000138]

Second-order SQL Injection Attack Defense Model

TIAN Yu-jie(), ZHAO Ze-mao, ZHANG Hai-chuan, LI Xue-shuang

Department of Communication Engineering, Hangzhou Dianzi University, Hangzhou Zhejiang 310008, China

Received:2014-10-16 Online:2014-11-01 Published:2020-05-18

摘要/Abstract

摘要：

随着互联网技术的快速发展, Web应用程序的使用也日趋广泛,其中基于数据库的Web应用程序己经广泛用于企业的各种业务系统中。然而由于开发人员水平和经验参差不齐,使得Web应用程序存在大量安全隐患。影响Web应用程序安全的因素有很多,其中SQL注入攻击是最常见且最易于实施的攻击, 且SQL注入攻击被认为是危害最广的。因此,做好SQL注入攻击的防范工作对于保证Web应用程序的安全十分关键, 如何更有效地防御 SQL 注入攻击成为重要的研究课题。SQL注入攻击利用结构化查询语言的语法进行攻击。传统的SQL注入攻击防御模型是从用户输入过滤和SQL语句语法比较的角度进行防御,当数据库中的恶意数据被拼接到动态SQL语句时,就会导致二阶SQL注入攻击。文章在前人研究的基础上提出了一种基于改进参数化的二阶SQL注入攻击防御模型。该模型主要包括输入过滤模块、索引替换模块、语法比较模块和参数化替换模块。实验表明,该模型对于二阶SQL注入攻击具有很好的防御能力。

关键词: 结构化查询语言, 二阶SQL注入攻击, 防御模型

Abstract:

With the rapid development of Internet technology, Web applications are becoming widespread, Web applications based on database have been widely used in a variety of enterprise business systems. However, due to the uneven experience of developers, there are a lot of security risks in Web applications. There are many factors that affect the security of Web applications. SQL injection attack is the most common and easiest to implement, and is considered to be the most destructive. Therefore, to prevent SQL injection attack is critical to Web applications, and how to prevent SQL injection attck effectively becomes an important research. The SQL injection attack uses the syntax of structured query language to attack. The traditional SQL injection attack defense model defenses SQL injection attacks by filtering user inputs and implementing syntax comparison, when malicious data in the database is added to the dynamic SQL statement, second-order SQL injection attack could occur. This paper proposes a second-order SQL injection attack defense model based on improved parameterized on the basis of previous studies. The proposed model consists of an input filter module, an index replacement module, a syntax comparison module and a parameterized replacement module. Experiments show that the proposed model can effectively prevent the second-order SQL injection attacks .

Key words: structured query language, second-order SQL injection attack, defense model

中图分类号:

TP309

田玉杰, 赵泽茂, 张海川, 李学双. 二阶SQL注入攻击防御模型[J]. 信息网络安全, 2014, 14(11): 70-73.

TIAN Yu-jie, ZHAO Ze-mao, ZHANG Hai-chuan, LI Xue-shuang. Second-order SQL Injection Attack Defense Model[J]. Netinfo Security, 2014, 14(11): 70-73.

图/表 4

参考文献 14

[1]	Anley C. Advanced SQL injection in SQL server applications[EB/OL]. .
[2]	练坤梅,许静,田伟,等. SQL注入漏洞多等级检测方法研究[J]. 计算机科学与探索,2011,5(5):474-480.
[3]	孙义,胡雨雾,黄皓. 基于序列比对的SQL注入攻击检测方法[J]. 计算机应用研究,2010,27(9):3525-3528.
[4]	刘合叶,张骏温. SQL注入防范技术研究与改进[J]. 计算机工程与应用,2009,45(专刊):l-3.
[5]	刘帅. SQL注入攻击及其防范检测技术的研究[J]. 电脑知识与技术,2009,5(28):7870-7872,7898.
[6]	陈小兵,张汉煌,骆力明,等. SQL注入攻击及其防范检测技术研究[J]. 计算机工程与应用,2007,43(11):150-152.
[7]	张勇,李力,薛倩. Web环境下SQL注入攻击的检测与防御[J]. 现代电子技术,2004,182(15):105-107.
[8]	竺霞芳. 双层防御SQL 注入攻击的方法[D]. 武汉:华中科技大学,2011.
[9]	石聪聪,张涛,余勇,等.一种新的SQL注入攻击防护方法的研究与实现[J]. 计算机科学, 2012, 39(6A):60-64.
[10]	成晓利. Web应用程序SQL注入攻击漏洞测试系统的研究与实现[D]. 成都:西南交通大学,2013.
[11]	褚龙现. ASP.NET应用中SQL注入攻击的分析与防范[J]. 计算机与现代化, 2014,(3):151-153,160.
[12]	王巍. 数据库中敏感数据加密方法的研究[J]. 科技广场,2007,(9):111-114.
[13]	钱林红,文洪建.部分加密防御SQL注入攻击[J]. 信息科技,2008,11(24):82.
[14]	William G J Halfond, Alessandro Orso. AMNESIA: analysis and Monitoring for Neutralizing SQL-Injection Attacks[C]//proceedings of the International Conference on Automated Software Engineering, 2005,(11):174-183.

二阶SQL注入攻击防御模型

Second-order SQL Injection Attack Defense Model

RichHTML

可视化

摘要/Abstract

引用本文

使用本文

图/表 4

参考文献 14

相关文章 1

编辑推荐

Metrics

本文评价