ASP.NET Web应用SQL注入攻击防范策略研究
关键词:SQL注入;防御策略;网络安全;漏洞扫描
The Research of SQL Injection Attack Prevention Strategies
Abstract: With the development of computer network technology, people pay more attention to network security. This topic intends to discuss the risk of SQL injection in ASP.NET Web applications. I will deeply analyze the principles and general process of SQL injection attacks, develop a tool of vulnerability scanning of SQL injection and conclude and put forward lots of SQL injection defense strategies and specific measures which have a important significance in web site security deployment. These strategies and measures will reduce the network insecurity factor effectively and improve the security and stability of websites.
Key Words: SQL Injection; Defense Strategies; Website Security;
Vulnerability Scanning
目 录
摘 要 1
引言 1
1.研究意义及现状 2
1.1研究背景 2
1.2课题研究内容与研究意义 2
1.3国内外研究现状分析 3
2.SQL注入攻击技术原理 4
2.1 SQL语言 4
2.2 SQL注入攻击原理及流程 4
3.SQL注入攻击原理深度剖析与检测 5
3.1 SQL注入的主要形式 5
3.2 基于特征语义的SQL注入检测 6
4.SQL注入扫描工具设计与实现 7
4.1 系统设计的需求分析 7
4.2 系统模块概要设计 8
4.3 系统流程设计 9
5.SQL注入攻击防御措施研究 11
5.1 对敏感数据进行加密处理 11
5.2 过滤用户输入的数据 12
5.3 使用参数化的SQL命令或存储过程 12
5.4 Web服务器与数据库服务器分离 13
5.5 检测/防御编码防范模型 14
5.6 漏洞识别机制 15
5.7 编码字符防范 15
结束语 15
参考文献 16
致谢 17
SQL注入攻击防范策略研究引言
由于Internet的普及与应用,互联网的迅速发展,使得Web应用程序在不同领域得到了广泛的普及。网络的普及标志着信息时代的到来,Web应用系统的极速推广使得天下事及时被人们所了解,便利的网络服务在给人们带来方便的同时也招来了越来越多的恶意攻击者。网络黑客开始攻击越来越多的网站,使网站的安全受到了严重的威胁。其中,最为致命的攻击方式之一就是SQL注入攻击。
1.研究意义及现状
1.1研究背景
SQL注入攻击(SQL Injection Attack)是Web应用程序面临的最为普遍的攻击。攻击者通过修改应用程序的Web表单的输入域,或者修改页面请求的查询字符串输入参数等方法进而插入一系列的SQL命令来达到改变数据库的查询语句,欺骗服务器执行恶意SQL命令的目的,从而实现对后台数据库未经授权就能访问。
基于数据库管理系统的入侵检测技术是入侵检测领域中研究比较成熟的技术之一。目前存在的基于数据库管理系统的检测技术中,SQL注入攻击检测方案主要是结合数据挖掘、关联规则和模式识别等,通过挖掘用户频繁查询项途径来实现。这些技术在一定程度上提高了SQL注入检测的效率,由于仅仅考虑了数据库管理系统自身的特征,没考虑与应用系统自身具备的应用语义,所以也存在着比较大的漏报率和误报率,与此同时对能够检测到的SQL注入攻击类型也存在着一定程度上的限制。比如,当用户对应用程序的操作在数据库中为存储过程调用语句时,存在SQL注入漏洞的可能是很大的,但目前的检测方案中很少对此提及,甚至想当然的认为使用存储过程可以绝对防范SQL注入攻击。可以看出,在涉及应用入侵检测领域中,对SQL注入检测技术的研究不仅具有非常大的实用价值而且还存在着非常大的发展空间。