期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息

一种SQL注入漏洞定位检测方法 被引量:2

A POSITIONING AND DETECTION TECHNOLOGY FOR SQL INJECTION VULNERABILITY
在线阅读 下载PDF
导出
摘要 SQL注入是攻击Web程序的常见手段。传统的SQL注入漏洞检测工具在定位效率、检测广度很难满足目前日益增长的程序代码量。针对这种情况,分析SQL注入漏洞的特征,提出一种渗透测试与程序分析技术相结合的方法来定位程序中存在的SQL注入漏洞。其中渗透测试部分通过模拟攻击找出可能的SQL注入点,程序分析部分对源程序代码进行分析,通过对污染变量的标记跟踪来实现SQL注入点的定位。实验结果表明,所提出的方法在定位时间、漏洞检测效果有较好表现。 SQL injection is a common means of attacking Web programs. Traditional detection tools for SQL injection vulnerability are difficult to meet the growing amount of program code in terms of positioning efficiency and detection range. In response to this situation, we proposed a method to locate the SQL injection vulnerabilities existed in programs, which combines the techniques of penetration testing and program analysis, after analysing the characteristics of SQL injection vulnerabilities. In the method, the penetration testing identifies the possible SQL injection points by simulating the attacks, and the program analysis parses the source codes. This method achieves the localisation of SQL injection points by marking and tracking the polluted variables. Experimental results showed that the proposed method had better performance in positioning time and vulnerability detection effect.
作者 张莹莹 凌捷
机构地区 广东工业大学计算机学院
出处 《计算机应用与软件》 CSCD 2016年第2期314-317,共4页 Computer Applications and Software
基金 广东省自然科学基金重点项目(S2012020011071) 广东省教育部产学研合作项目(2012B091000037)
关键词 SQL注入 渗透测试 程序分析 漏洞定位 SQL injection Penetration testing Program analysis Vulnerability positioning
分类号 TP393.08 [自动化与计算机技术—计算机应用技术]
  • 相关文献

参考文献11

  • 1Kumar P, Pateriya R K. A survey on SQL injection attacks, detection and prevention techniques[ C ]//Computing Communication & Networ- king Technologies ( ICCCNT), 2012 Third International Conference on. IEEE,2012:1 -5.
  • 2吴翰清.白帽子讲Web安全[M].北京:电子工业出版社,2013:152-178.
  • 3王清,郑庆华,管晓宏,张哲菲.一种基于证明树反演的安全漏洞定位方法[J].西安交通大学学报,2007,41(4):439-443. 被引量:2
  • 4孙义,胡雨霁,黄皓.基于序列比对的SQL注入攻击检测方法[J].计算机应用研究,2010,27(9):3525-3528. 被引量:10
  • 5Dharam R, Shiva S G. Runtime Monitors to Detect and Prevent Union Query Based SQL Injection Attacks[ C ]//Information Technology:New Generations (ITNG),2013 Tenth International Conference on. IEEE, 2013:357 - 362.
  • 6JustinClarke.SQL注入攻击与防御[M].2版.清华大学出版社,2013:21-69.
  • 7Antunes N, Vieira M. Penetration Testing in Web Services [ J ]. IEEE Computer Society,2014,47 ( 2 ) :30 - 36.
  • 8Shar L K,Tan H B K,Briand L C. Mining SQL injection and cross site scripting vulnerabilities using hybrid program analysis [ C ]//Proceed- ings of the 2013 International Conference on Software Engineering. IEEE Press,2013:642 - 651.
  • 9李小花,孙建华,陈浩.程序分析技术在SQL注入防御中的应用研究[J].小型微型计算机系统,2011,32(6):1089-1093. 被引量:3
  • 10林姗,郑朝霞.基于格的数据流分析研究与应用[J].武汉理工大学学报(信息与管理工程版),2011,33(6):932-935. 被引量:3

二级参考文献46

  • 1张振国,王晓霞.基于数据流分析的程序变量识别方法(Ⅱ)[J].陕西科技大学学报(自然科学版),2005,23(1):61-63. 被引量:1
  • 2刘晓锋,吴亚娟,李明东,曾宪华.基于格的数据流分析框架研究[J].计算机工程与应用,2006,42(21):48-51. 被引量:1
  • 3周敬利,王晓锋,余胜生,夏洪涛.一种新的反SQL注入策略的研究与实现[J].计算机科学,2006,33(11):64-68. 被引量:21
  • 4CooperKD,TorczonL.编译器工程[M].冯速,译.北京:机械工业出版社,2006.
  • 5OWASP Foundation.The ten most critical Web application security vulnerabilities[R].2007.
  • 6MAOR O,SHULMAN A.SQL injection signatures evasion[EB/OL].(2004-12-18).http://www.securiteam.com/securityreviews/5FP0O0KCKM.html.
  • 7LERDORF R,TATROE K,MACLNTYRE P.PHP程序设计[M].北京:电子工业出版社,2007.
  • 8HOWARD M,LeBLANC D.Writing secure code[M].2nd ed.Redmond:Microsoft Press,2003.
  • 9SCOTT D,SHARP R.Abstracting application-level Web security[C]//Proc of the 11th International Conference on World Wide Web.New York:ACM Press,2002:396-407.
  • 10SCOTT D,SHARP R.Specifying and enforcing application-level Web security policies[J].IEEE Trans in Knowledge and Data Engineering,2003,15(4):771-783.

共引文献14

同被引文献19

引证文献2

二级引证文献6

计算机应用与软件
2016年 第2期

相关作者

内容加载中请稍等...

相关机构

内容加载中请稍等...

相关主题

内容加载中请稍等...

浏览历史

内容加载中请稍等...
;
使用帮助 返回顶部