【摘要】：伴隨著互聯(lián)網(wǎng)時代快速發(fā)展的節(jié)奏,基于web開發(fā)的應(yīng)用程序也越來越成熟,技術(shù)也越來越復(fù)雜。由于web應(yīng)用豐富的功能特性,以及便于通過互聯(lián)網(wǎng)對信息進(jìn)行比較、處理、傳播的能力,使得web應(yīng)用極易成為流行的攻擊目標(biāo)。所以為了保障web應(yīng)用的安全性,提前對web應(yīng)用進(jìn)行安全漏洞的檢測是十分有必要的。根據(jù)OWASP在2013年公布的十大最流行的web安全漏洞中,注入漏洞(其中以SQL注入漏洞為主)作為第一大漏洞位居榜首。由此可見對SQL注入漏洞檢測技術(shù)的研究是具有十分重要的現(xiàn)實(shí)意義的。本文首先概述了對SQL注入漏洞研究的背景及其意義,然后分別介紹了國內(nèi)外對SQL注入漏洞檢測技術(shù)的發(fā)展研究。發(fā)現(xiàn)以往的這些研究多關(guān)注于檢測用例(即payloads)的充分性和準(zhǔn)確性上,幾乎沒有對龐大的檢測用例集合中各測試用例的關(guān)聯(lián)性以及獨(dú)特性進(jìn)行研究,而且在進(jìn)行SQL注入漏洞檢測時,也只是隨機(jī)從payloads集合中選取檢測用例,沒有考慮到payloads自身的規(guī)律性。在本文中,我們先對SQL注入漏洞進(jìn)行了基礎(chǔ)介紹,然后概述了在SQL盲注中的一些高級檢測技巧,最后針對目前存在的檢測技術(shù)缺陷問題,從SQL注入漏洞的payloads角度出發(fā),提出了優(yōu)化改進(jìn),主要包括以下4個方面:(1)基于字母頻率的優(yōu)化。有時候在已經(jīng)確定存在SQL注入漏洞的情況下,當(dāng)需要對后臺數(shù)據(jù)庫明文關(guān)鍵字進(jìn)行猜解時,我們考慮到各個英文字母在英語單詞中出現(xiàn)的頻率問題,提出基于字母頻率的方式來進(jìn)行猜解以提高檢測效率,更進(jìn)一步,我們還提出了基于雙字母組頻率的方式來猜解明文關(guān)鍵字,以減少后臺數(shù)據(jù)庫請求次數(shù)。(2)基于字母頻率和二進(jìn)制搜索相結(jié)合的優(yōu)化。很多時候,我們不能確定所要猜解的關(guān)鍵字是否經(jīng)過加密方式處理,或者關(guān)鍵字中不僅僅只包含英文字母。針對這種情況,本文提出了基于字母頻率和二進(jìn)制搜索相結(jié)合的方式來猜解關(guān)鍵字,首先進(jìn)行一定次數(shù)的字母頻率(包括雙字母組頻率)方式猜解,然后再利用二進(jìn)制搜索方式進(jìn)行搜索,相比較對整張字母表進(jìn)行檢索,極大地提高了檢測效率。(3)基于自動擴(kuò)展的優(yōu)化。針對各檢測用例之間的關(guān)聯(lián)性,本文提出自動擴(kuò)展的方式來自動選擇下一個可能用于檢測SQL注入漏洞的payload。本文主要從五個方面來進(jìn)行自動擴(kuò)展:大小寫變種擴(kuò)展,編碼變換擴(kuò)展,SQL注釋擴(kuò)展,空字節(jié)擴(kuò)展以及拆分與平衡擴(kuò)展。(4)基于緩存加權(quán)的優(yōu)化。針對以往隨機(jī)枚舉檢測用例的缺陷,本文提出在選取各測試用例的時候按照一定的次序來選擇,即采用緩存加權(quán)的方式來選取測試用例,首先對payloads集合進(jìn)行分類,然后在每個分類下設(shè)置一個緩存機(jī)制,將一些常用到的權(quán)重較大的檢測用例存放到緩存機(jī)制中,該緩存機(jī)制還有動態(tài)替換的特點(diǎn),在進(jìn)行SQL注入漏洞檢測時,先從緩存機(jī)制中選取payload,如果還未檢測成功,則從緩存機(jī)制以外再依次選取payload來進(jìn)行檢測。更進(jìn)一步,針對本文提出的payloads優(yōu)化方法,我們通過大量的實(shí)驗(yàn)證明,這些優(yōu)化方法確實(shí)提高了檢測效率,而且針對大型工程性項目的檢測,其優(yōu)勢更為明顯。
[Abstract]:With the rapid development of Internet era, the application of web-based development is becoming more and more mature, and the technology is becoming more and more complex. Due to the rich functional characteristics of the web application, and the ability to compare, process and propagate the information through the Internet, the web application is easy to become a popular attack target. Therefore, in order to guarantee the security of the web application, it is necessary to detect the security vulnerability of the web application in advance. In the top ten most popular web security vulnerabilities published by OWASP in 2013, an injection vulnerability (mainly SQL injection vulnerability) topped the first major flaw. Therefore, it is very important to study the research of SQL injection vulnerability detection technology. This paper first summarizes the background and significance of the research on SQL injection vulnerability, and then introduces the development of SQL injection vulnerability detection technology at home and abroad. it has been found that previous studies have focused on the adequacy and accuracy of detection cases (i. e. payloads), almost no studies have been made on the relevance and uniqueness of each test case in a large set of detection examples, and when a sql injection vulnerability detection is performed, It is also only a random selection of the detection example from the payloads set, and the regularity of payloads itself is not taken into account. In this paper, we first introduce the SQL injection vulnerability, then outline some advanced detection techniques in the SQL blind note, finally, based on the existing detection technology defect problem, the optimization improvement is put forward from the point of payloads of SQL injection vulnerability. It mainly includes the following four aspects: (1) optimization based on the letter frequency. sometimes in the case where a SQL injection vulnerability has been determined, when the background database plaintext keyword needs to be guessed, we take into account the frequency problems that each English letter appears in the alphabet, and proposes a way to guess the solution based on the letter frequency to improve the detection efficiency, Further, we also propose a double-letter-group-frequency-based approach to guess de-plaintext keywords to reduce background database requests. (2) Optimization based on combination of letter frequency and binary search. In many cases, we cannot determine whether the keywords to be guessed are processed by encryption or not only English letters are included in the keyword. In view of this situation, this paper proposes a combination of letter frequency and binary search to guess the solution key, first carry on a certain number of letter frequency (including the double-letter group frequency) way guess the solution, then use the binary search way to search, Compared with the alphabet, the search efficiency is greatly improved. (3) Optimization based on automatic extension. In view of the correlation between the detection cases, this paper proposes an automatic extension method to automatically select the next payload which may be used to detect the SQL injection vulnerability. This article mainly extends the automatic expansion from five aspects: case variant extension, coding transformation extension, SQL annotation extension, null byte expansion, and split and balance extension. (4) Optimization based on cache weight. aiming at the defects of the prior random enumeration detection example, the invention provides a method for selecting a test case according to a certain sequence when selecting each test case, namely, selecting a test case by adopting a cache weighting method, firstly classifying the payloads set, and setting a caching mechanism under each classification, storing a plurality of commonly used detection cases with larger weights into a caching mechanism, wherein the caching mechanism has the characteristics of dynamic replacement; when the SQL injection vulnerability detection is carried out, the payload is firstly selected from the caching mechanism, and if the detection is not detected, then the payload is selected from the cache mechanism in sequence for detection. Furthermore, in view of the payloads optimization method proposed in this paper, we prove that these optimization methods have improved the detection efficiency, and the advantages are more obvious for the detection of large engineering projects.
【學(xué)位授予單位】：浙江工商大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 于愛卿,張桂珍;利用錯誤信息分析SQL故障[J];青島遠(yuǎn)洋船員學(xué)院學(xué)報;2000年02期

2 蔣丹丹;牛曉楠;;基于SQL的宿舍學(xué)生成績管理系統(tǒng)設(shè)計與開發(fā)[J];企業(yè)技術(shù)開發(fā);2012年20期

3 劉艷云;;《數(shù)據(jù)庫設(shè)計與實(shí)現(xiàn)(SQL)》課程教學(xué)改革與實(shí)踐[J];教育教學(xué)論壇;2013年51期

4 任曉東;SQL在中德合作云南二期造林項目管理信息系統(tǒng)中的應(yīng)用[J];林業(yè)調(diào)查規(guī)劃;2005年01期

5 張濤;王行建;;對SQL注入漏洞的研究與防范措施的探討[J];計算機(jī)時代;2006年11期

6 楊應(yīng)全,汪德彪;解決圖書館SQL服務(wù)器連接問題[J];現(xiàn)代情報;2005年09期

7 田yN敏;;基于SQL的高職計算機(jī)實(shí)驗(yàn)室管理系統(tǒng)的設(shè)計與實(shí)現(xiàn)[J];中國科教創(chuàng)新導(dǎo)刊;2011年14期

8 肖海蓉;;SQL中分組查詢的設(shè)計與應(yīng)用[J];計算機(jī)與數(shù)字工程;2009年05期

9 徐廷元;白靜華;;優(yōu)化SQL語句降低時間復(fù)雜度[J];電腦知識與技術(shù);2009年03期

10 黃保華;馬巖;謝統(tǒng)義;;用于SQL注入檢測的語句塊摘要樹模型[J];信息安全與技術(shù);2012年03期

相關(guān)會議論文 前2條

1 符俊藝;;用VB和SQL開發(fā)交換機(jī)話務(wù)分析系統(tǒng)[A];海南省通信學(xué)會學(xué)術(shù)年會論文集（2005）[C];2005年

2 朱虹;舒鵬;;擴(kuò)展SQL實(shí)現(xiàn)DBMS細(xì)粒度訪問控制[A];第二十三屆中國數(shù)據(jù)庫學(xué)術(shù)會議論文集（技術(shù)報告篇）[C];2006年

相關(guān)重要報紙文章 前10條

1 貴州 王偉;列的別名和SQL語句的格式化[N];電腦報;2004年

2 冬盈;SQL語句的自動優(yōu)化[N];計算機(jī)世界;2002年

3 本報記者 許繼楠;新版SQL Server應(yīng)對大數(shù)據(jù)和云挑戰(zhàn)[N];中國計算機(jī)報;2012年

4 貴州 王偉;SQL語句中的函數(shù)簡介[N];電腦報;2004年

5 ;微軟建立SQL中國研發(fā)中心[N];人民郵電;2007年

6 郭瑩;微軟SQL Server 2008添新版本[N];中國計算機(jī)報;2008年

7 西安 鄒捷;VB中利用SQL語句實(shí)現(xiàn)高效數(shù)據(jù)處理[N];電腦報;2002年

8 ;首只攻擊 SQL 服務(wù)器的蠕蟲現(xiàn)身[N];中國電腦教育報;2002年

9 閔翔;人工智能自動SQL優(yōu)化[N];中國計算機(jī)報;2001年

10 王少青;微軟SQL：起于低端,后發(fā)制人[N];中國計算機(jī)報;2007年

相關(guān)碩士學(xué)位論文 前10條

1 唐韜;基于HBase的SQL轉(zhuǎn)化引擎研究[D];電子科技大學(xué);2014年

2 劉漢江;SQL注入檢測掃描器的設(shè)計與實(shí)現(xiàn)[D];華南理工大學(xué);2015年

3 李敏兒;餐飲企業(yè)外賣訂餐系統(tǒng)的設(shè)計與實(shí)現(xiàn)[D];華南理工大學(xué);2016年

4 章爽敏;SQL注入漏洞快速檢測技術(shù)的研究[D];浙江工商大學(xué);2017年

5 成曉利;Web應(yīng)用SQL注入漏洞測試系統(tǒng)的研究與實(shí)現(xiàn)[D];西南交通大學(xué);2013年

6 趙陽;基于SQL注入的數(shù)據(jù)安全測評技術(shù)研究[D];沈陽工業(yè)大學(xué);2012年

7 趙偉;利用VC與SQL實(shí)現(xiàn)管殼式換熱器的工藝設(shè)計[D];北京化工大學(xué);2003年

8 王一U，

本文編號：2281214