本文關(guān)鍵詞：基于敏感字符的SQL注入攻擊防御方法

  更多相關(guān)文章： SQL注入攻擊 可信敏感字符 動態(tài)污點分析 積極污點分析 編碼轉(zhuǎn)換

【摘要】：SQL注入攻擊歷史悠久,其檢測機制也研究甚廣.現(xiàn)有的研究利用污點分析(taint analysis)結(jié)合SQL語句語法分析進(jìn)行SQL注入攻擊檢測,但由于需要修改Web應(yīng)用程序執(zhí)行引擎來標(biāo)記和跟蹤污點信息,難以部署,并且時間和空間性能損失過大.通過分析SQL注入攻擊機理,提出一種基于敏感字符的SQL注入攻擊防御方法.1)僅對來自常量字符串的可信敏感字符進(jìn)行積極污點標(biāo)記;2)無需修改Web應(yīng)用程序執(zhí)行引擎,利用編碼轉(zhuǎn)換將污點信息直接存儲在可信敏感字符的編碼值中,動態(tài)跟蹤其在程序中的傳播;3)無需SQL語句語法分析,只需利用編碼值判斷SQL語句中敏感字符的來源、轉(zhuǎn)義非可信敏感字符,即可防御SQL注入攻擊.基于PHP的Zend引擎實現(xiàn)了系統(tǒng)原型PHPGate,以插件方式實現(xiàn)、易部署.實驗證明:PHPGate可精確防御SQL注入攻擊,且有效提升污點傳播效率,頁面應(yīng)答的時間開銷不超過1.6%.
【作者單位】： 北京大學(xué)計算機科學(xué)技術(shù)研究所;加州大學(xué)伯克利分校;百度美國有限責(zé)任公司;
【關(guān)鍵詞】： SQL注入攻擊 可信敏感字符 動態(tài)污點分析 積極污點分析 編碼轉(zhuǎn)換
【基金】：國家自然科學(xué)基金項目(61572149,61402125)~~
【分類號】：TP393.08
【正文快照】： 2(加州大學(xué)伯克利分校加利福尼亞伯克利94720)3(百度美國有限責(zé)任公司加利福尼亞森尼韋爾94089)(zhanghuilin@pku.edu.cn)SQL注入(SQL injection)是一種代碼注入(code injection)攻擊[1-2],其根源是Web應(yīng)用程序中的SQL語句通常由程序中可信的常量字符串和用戶輸入等不可信的外

【相似文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前3條

1 ;漢神平臺出世 創(chuàng)新世界領(lǐng)先[J];數(shù)據(jù)傳播周刊;1997年06期

2 賈宏宇,趙俊峰;語音E-MAIL系統(tǒng)的原理與設(shè)計[J];小型微型計算機系統(tǒng);2002年02期

3 ;[J];;年期

，

本文編號：601726