文档介绍：西安电子科技大学
硕士学位论文
WEB系统SQL注入攻击分析研究和漏洞检测系统的设计与实现
姓名:刘一鸥
申请学位级别:硕士
专业:计算机技术
指导教师:姜建国;马达
20071001
摘要新型的⑷肼┒醇觳夥椒ā8梅椒ńǔ跫恫馐运惴ā⒏呒恫馐运惴ê兔舾行随着计算机网络的发展,τ贸绦虻玫郊9惴旱挠τ茫渥陨淼陌踩也面临越来越多的威胁。结构化查询语言⑷牍セ魇悄壳癢应用程序面临的主要安全威胁之一,因此⑷牍セ鞣烙际跤肼┒醇觳饧际醯难芯浚对于加强τ贸绦虻陌踩ň哂惺种匾5囊庖濉本文针对镜阏庵痔厥獾募扑慊低常隽恕只ǖ摹⒎瞧苹敌缘摹息泄露的测试算法结合起来应用在⑷肼┒醇觳饬煊颉;诖朔椒ǎ疚纳计并开发了τ贸绦騍注入漏洞检测系统。该系统通过对网络爬行技术、网页解析技术以及漏洞测试技术的研究与实际应用,实现了较大规模网络内⑷肼┒吹淖远觳狻本文所述的检测系统定位漏洞准确、实现代价小、运行效率高,并且误报率低。在对某校园网进行测试的过程中,该系统已经发现了多个存在严重安全问题的网站并给出了相应的解决方案。今后,研究将着眼于⑷牍セ髟赐返淖纷俸蚐注入防御系统可扩展性的增强,这对于减小⑷牍セ鞯奈:Γ档蚖系统的安全威胁具有重要的意义。关键词:注入攻击注入漏洞漏洞检测代码解析
、.腩锼簅瑃,..瑃··.,..。.,猟,··
本学位论文属于保密在一年解密后适用本授权书。关于论文使用授权的说明创新性声明成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不学校有权保留送交论文的复印件,允许查阅和借阅论文;学校可以公布论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存论文。C艿穆畚本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究包含其他人已经发表或撰写过的研究成果;也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。申请学位论文与资料若有不实之处,本人承担一切相关责任。本人签名:日期本人完全了解西安电子科技大学有关保留和使用学位论文的规定,即:研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业离校后,发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。在解密后遵守此规定导师签名:
!:<际酢!猄注入选题背景和研究意义家犹如一部巨大的网络机器。计算机网络已经成为国家的经济基础和命脉,计算越大。随着际醯牟欢戏⒄梗τ贸绦蛘氏指叨然チ那魇啤V诙嗟钠大。尤其是现在众多机构还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得隐蔽性好的黑客的攻击具有更大的破坏性,这是目前网络安全的主要威胁,据由于互联网络姆⒄梗鍪澜缇谜谘杆俚娜谖R惶澹龉机网络在经济和生活的各个领域正在迅速普及,整个社会对网络的依赖程度越来业、组织、政府部门与机构都在组建和发展自己的网络,并连接到希充分共享和利用网络的信息和资源。网络已经成为社会和经济发展的强大动力,其地位越来越重要。当然伴随着网络的发展,也产生了各种各样的问题,其中安全问题尤为突出。了解网络面临的各种威胁,并且防范和消除这些威胁,实现真正的网络安全已经成为保障国家政治、经济、和国防安全的一个非常重要的研究领域。目前全球网络面临的主要威胁是黑客攻击,黑客技术逐渐被越来越多的人掌握和滥用,目前世界上有多万个黑客网站,这些站点介绍一些攻击方法和攻击软件的使用以及曝光系统的一些漏洞,因而由此带来的各种攻击的可能性就非常企业团体最近的调查统计显示,美国%的企业缺乏对黑客攻击的足够准备。另外,美国%%的网站都很难抵抗黑客的攻击,约%的企业由于网上信息失窃造成了较大的经济损失,其中%的企业损失在万美元以上乜目前黑客攻击采用的主流技术是结构化查询语言注入攻击,它产生于应用层,现已成为网上最流行最热门的黑客脚本攻击方法之一。⑷牍セ魇侵负诳屠靡恍￤应用程序厶常粞员荆恼路布系统心承┦栌诜婪逗陀没Э梢蕴峤换蛐薷牡氖莸囊趁妫墓乖霺语句,把特殊的噶钣锞洳迦氲较低呈导蔛语句中并执行它,以获取用户密码等敏感信息,以及获取主机控制权限的攻击方法。我国计算机技术普及相对较晚,网站管理员普遍经验不足,再加上网站开发人员技术不过关,严重缺乏安全意识,导致存在大量的不安全网站。这些不安全第一章绪论,
臼孓一一豳\—√二设计并实现了通过网络远程检测τ贸绦騍注入漏洞检测系统肳爬行技术获得页面,通讲⑷牍セ骷觳饧际醯氖涤眉壑的网站上存储着大量的用户帐号及密码信息,一旦被攻击者攻破,很可能会引起信用卡等金融安全问题。政府门户网站是政府对外宣传和信息发布的重要途径,由于安全问题没有得到重视,网站被篡改事件频繁发生,在社会上造成恶劣影响。