检索结果-南通市图书馆

基于机器学习和遗传算法的SQL注入漏洞恶意数据自动化生成方法

在线全文

学校读者我要写书评

暂无评论

基于机器学习和遗传算法的SQL注入漏洞恶意数据自动化生成方法

作者：魏耀辉北京化工大学

学位级别：硕士

近年来,SQL注入漏洞一直被国际OWASP(Open Web Application Security Project)组织列为Web应用高危安全漏洞之一。面向SQL注入漏洞检测的恶意数据生成成为学术界和产业界研究的热点问题之一。然而,目前的恶意数据生成方法大多采用随机变... 详细信息

近年来,SQL注入漏洞一直被国际OWASP(Open Web Application Security Project)组织列为Web应用高危安全漏洞之一。面向SQL注入漏洞检测的恶意数据生成成为学术界和产业界研究的热点问题之一。然而,目前的恶意数据生成方法大多采用随机变异,即通过随机生成大量变异体来检测Web应用中SQL注入漏洞。由于随机变异只关注恶意数据本身,不涉及Web应用sql注入验证和过滤机制,但能否触发SQL注入漏洞与Web应用服务器端代码验证和过滤机制有关,因此,该恶意数据生成方法难以生成有效的SQL注入漏洞恶意数据,进而导致SQL注入漏洞检测效果不佳。为提高SQL注入漏洞的检测效果及恶意数据生成效率,本文提出一种基于机器学习和遗传算法的SQL注入漏洞恶意数据自动化生成方法,该方法同时考虑SQL注入漏洞恶意数据特征和Web应用服务器端代码特征,利用机器学习构造sql注入攻击预测模型,并以此为依据,指导遗传算法生成SQL注入漏洞恶意数据。此外,由于SQL注入漏洞恶意数据本质上是携带恶意信息的sql代码片段,为保证能够生成有效的恶意数据,本文设计了 SQL注入漏洞恶意数据上下文无关语法,并基于上下文无关语法设计了相应的遗传操作算子。综上所述,本文提出一种基于机器学习和遗传算法的SQL注入漏洞恶意数据自动化生成方法,以对Web应用服务器端代码生成能够触发SQL注入漏洞的恶意数据。为评估本文方法的有效性,本文选取了五个开源的Web应用作为被测对象,对其进行SQL注入漏洞恶意数据生成。对于生成结果,本文分别从生成有效恶意数据的比例,生成有效恶意数据的速率,时间开销等方面进行分析,验证本文方法的有效性。实验结果表明,本文方法能够针对不同Web应用的SQL注入漏洞生成有效的恶意数据,且在生成效率、时间开销等方面有良好的效果。

关键词： SQL注入漏洞恶意数据生成机器学习遗传算法

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

XSS及SQL注入漏洞检测器的设计与实现

XSS及SQL注入漏洞检测器的设计与实现

作者：黄煜云南大学

学位级别：硕士

Web应用的开放与普及,导致目前世界网络空间70%以上的安全问题都来自Web安全攻击。XSS（Cross Site Scripting）跨站点脚本攻击,已经超过传统的缓冲区溢出攻击,成为排名最靠前的安全威胁类型。同时sql（Structured Query Language）代... 详细信息

Web应用的开放与普及,导致目前世界网络空间70%以上的安全问题都来自Web安全攻击。XSS（Cross Site Scripting）跨站点脚本攻击,已经超过传统的缓冲区溢出攻击,成为排名最靠前的安全威胁类型。同时sql（Structured Query Language）代码注入也是Web应用程序的主流攻击类型,各大知名网站都曾被发现存在XSS和sql安全漏洞,因此,这两类漏洞检测方法的研究已成为Web安全研究的热点。本文主要对XSS漏洞与SQL注入漏洞进行研究,设计并实现了一个针对这两类漏洞的漏洞检测器XST（XSS＆sql Tool）。本文在对Web漏洞检测器的研究背景及现状进行学习的基础上,重点研究XSS和sql注入这两类漏洞,分析漏洞产生的原因、攻击的原理、攻击的方法及攻击的过程,介绍了源代码审计和模糊测试两种常用的检测方法,最后对文中所述漏洞检测器XST进行设计,用Python语言实现了检测器XST,并在本地搭建包含各种漏洞的平台DVWA（Damn Vulnerable Web Application）对该检测器进行检测测试。针对XSS漏洞,在对漏洞检测器进行测试时,检测器XST向平台DVWA服务器发送随机产生的攻击字符串,即攻击语句,服务器端接收检查器的请求信息并返回响应信息,检测器对响应信息利用正则表达式进行匹配,如果在服务器返回的响应信息中匹配出相应的XSS攻击字符串,则表示存在XSS漏洞,反之,表示不存在漏洞。针对SQL注入漏洞,在对漏洞检测器进行测试时,检测器XST向平台DVWA服务器发送特殊构造的sql测试字符串,服务器端接收检查器的请求信息并返回响应信息,根据返回响应信息做出进一步判断。检测器工作过程:1、向服务器发送攻击语句;2、获取服务端响应信息;3、分析响应信息并进行漏洞检测;4、根据检测结果分析判断是否存在漏洞。通过测验验证,本文实现的XST漏洞检测器能够成功检测出DVWA漏洞平台以及“朱铭美术馆”、“Freebuf”等运营网站中存在的XSS漏洞和SQL注入漏洞。同时,在测试过程中也发现了本文设计的漏洞检测器存在一些需要改进的地方。

关键词： Web安全漏洞检测 XSS漏洞 SQL注入漏洞

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

SQL注入漏洞检测技术综述

现代计算机 2020年第10期26卷 51-58页

作者：黄小丹四川大学计算机学院成都610065

随着互联网的发展,人们面临的网络安全威胁在不断增加。在Web应用存在的各种漏洞中,SQL注入漏洞因其影响巨大,是安全测试领域研究的重要课题之一。按照系统文献综述的方法,调研40篇文献,研究现有的SQL注入漏洞检测技术,从SQL注入漏洞的... 详细信息

随着互联网的发展,人们面临的网络安全威胁在不断增加。在Web应用存在的各种漏洞中,SQL注入漏洞因其影响巨大,是安全测试领域研究的重要课题之一。按照系统文献综述的方法,调研40篇文献,研究现有的SQL注入漏洞检测技术,从SQL注入漏洞的形成原因,sql注入主要攻击方式,以及安全测试的角度,综述近10年来SQL注入漏洞检测方面的主要技术和方法,归纳这一领域的未来研究方向,研究结果可供相关研究人员和测试人员参考。

关键词： Web应用安全测试 SQL注入漏洞漏洞检测系统文献综述

在线全文

学校读者我要写书评

暂无评论

基于静态分析的SQL注入漏洞检测方法研究

基于静态分析的SQL注入漏洞检测方法研究

作者：刘祎璠湖南大学

学位级别：硕士

随着互联网的普及与快速发展,特别是Web2.0技术的出现,使得Web应用程序得到长足的发展。当今的Web应用程序已经可以完成即时通讯,数据存储,网上购物,网上支付等复杂的功能,Web应用的用户已经成为一个非常庞大而且稳定的群体。因此一旦We... 详细信息

随着互联网的普及与快速发展,特别是Web2.0技术的出现,使得Web应用程序得到长足的发展。当今的Web应用程序已经可以完成即时通讯,数据存储,网上购物,网上支付等复杂的功能,Web应用的用户已经成为一个非常庞大而且稳定的群体。因此一旦Web应用出现安全问题,用户群体将会直接受到影响,更有甚者用户直接受到经济损失。在Web安全问题当中,Web漏洞是其中的较为严重且影响较大的问题之一,而SQL注入漏洞又是所有Web漏洞中最常见,出现率最高同时也是危害最大的漏洞,因此,快速并且正确地检测出SQL注入漏洞对于后续的修补漏洞乃至保证Web应用程序的安全有着重要的意义。当前存在的一些商用化的和开源的漏洞检测工具普遍具有检测时间较长的问题,有的还存在正确率不高的问题。针对上述的检测工具存在的问题,本文提出一种改进的基于静态分析的SQL注入漏洞的检测方法。静态分析方法是一种十分有效的SQL注入漏洞的检测方法,通常采用词法分析,类型推断,数据流分析和符号执行等方法进行分析,它的特点是并不需要实际执行程序,只需要查看程序变量和函数的属性进行分析。本文利用词法分析,数据流分析,并结合基于频谱的排名算法的方法进行SQL注入漏洞的分析。根据提出的方法,本文实现一个漏洞检测系统QSAcanner,该系统由PHP语言编写,可以检测PHP程序的SQL注入漏洞。系统由标记模块,分析模块和输出模块三部分组成,标记模块用来划分代码段和标记;分析模块用来进行数据流分析,并且实时更新漏洞函数库,避免重复的分析;输出模块用来输出结果。实验证明,该系统对于PHP应用程序SQL注入漏洞的检测在漏报率和误报率方面表现良好,且对比现存的工具,它在保证检测漏报率和误报率不受影响的前提下,能够有效减少漏洞检测的消耗时间。

关键词： SQL注入漏洞静态分析漏报率误报率

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

一种基于***的SQL注入漏洞防范措施

科技资讯 2018年第18期16卷 7-8页

作者：孟庆君杜瑞庆济南测绘信息中心山东济南250014 许昌学院信息工程学院河南许昌461000

现今网站上的数据库大多使用sql Server数据库,对数据库进入访问时一般需要输入账户和密码进行登录,但是sql存在的注入漏洞可以使任意账户顺利登录,文章探讨了常见的sql注入万能密码能够成功登录的原因,并提出了使用参数化查询解决这种... 详细信息

现今网站上的数据库大多使用sql Server数据库,对数据库进入访问时一般需要输入账户和密码进行登录,但是sql存在的注入漏洞可以使任意账户顺利登录,文章探讨了常见的sql注入万能密码能够成功登录的原因,并提出了使用参数化查询解决这种问题的方法。参数化查询首先编译sql语句,仅将参数进行编译,其后紧随的恒为真的条件语句将被截取掉,因此实现对注入漏洞的防范。

关键词： SQL注入漏洞登录参数化查询

Web2.0环境下SQL注入漏洞注入点提取方法

在线全文

学校读者我要写书评

暂无评论

计算机技术与发展 2013年第3期23卷 121-124,128页

作者：马凯蔡皖东姚烨西北工业大学计算机学院陕西西安710072

为解决Web2.0环境中Web网站的SQL注入漏洞检测问题,提出了一种注入点提取方法。根据Web2.0网站的技术特点,通过分析网页HTML标记,解析执行网页客户端脚本,全面提取网站的数据输入点。根据数据输入点类型和参数组成,构建测试用例并建立... 详细信息

为解决Web2.0环境中Web网站的SQL注入漏洞检测问题,提出了一种注入点提取方法。根据Web2.0网站的技术特点,通过分析网页HTML标记,解析执行网页客户端脚本,全面提取网站的数据输入点。根据数据输入点类型和参数组成,构建测试用例并建立注入点判定规则,从而提高了SQL注入漏洞检测效果。实验结果表明,增加脚本解析和数据输入点提取后,提高了Web2.0环境中SQL注入漏洞检测的测试覆盖率,降低了漏检率。本方法对使用传统技术和Web2.0技术网站进行的SQL注入漏洞检测,都具有适用性,能够获得较为全面的测试结果。

关键词： Web2 0 SQL注入漏洞漏洞检测脚本解析注入点提取

在线全文

学校读者我要写书评

暂无评论

SQL注入漏洞挖掘技术研究

物联网技术 2024年第3期14卷 86-89,92页

作者：袁也陆余良赵家振朱凯龙国防科技大学电子对抗学院安徽合肥230036

SQL注入漏洞广泛存在于Web应用程序中,允许攻击者在非授权条件下不受限制地访问Web应用程序所使用的数据库,对Web应用程序安全构成了严重威胁,如何挖掘SQL注入漏洞是网络安全领域的一个重要研究课题。近年来,围绕SQL注入漏洞挖掘,形成... 详细信息

SQL注入漏洞广泛存在于Web应用程序中,允许攻击者在非授权条件下不受限制地访问Web应用程序所使用的数据库,对Web应用程序安全构成了严重威胁,如何挖掘SQL注入漏洞是网络安全领域的一个重要研究课题。近年来,围绕SQL注入漏洞挖掘,形成了多种理论成果和实用工具,为了厘清研究现状和未来发展方向,本文广泛调研了相关领域研究进展,对SQL注入漏洞挖掘方面的已有研究成果进行了系统梳理。首先,介绍了sql注入的基本概念及不同类型sql注入的攻击原理;然后,详细阐述了SQL注入漏洞挖掘技术;最后,总结并讨论了SQL注入漏洞挖掘技术的未来发展方向。

关键词： SQL注入漏洞 Web应用程序数据库 SQL注入漏洞挖掘技术静态分析动态分析机器学习

在线全文

学校读者我要写书评

暂无评论

SQL注入漏洞检测与防御技术研究

计算机安全 2010年第11期 18-24页

作者：马小婷胡国平李舟军北京航空航天大学计算机学院北京100083 北京跟踪与通信技术研究所北京100094

SQL注入漏洞已成为当前Web应用程序的主要安全漏洞之一,其危害巨大,受到学术界和工业界的高度重视和广泛关注。首先对SQL注入漏洞的起因、漏洞注入方式及其危害进行了系统的概述,然后重点分析和比较了几种SQL注入漏洞检测技术的优缺点,... 详细信息

SQL注入漏洞已成为当前Web应用程序的主要安全漏洞之一,其危害巨大,受到学术界和工业界的高度重视和广泛关注。首先对SQL注入漏洞的起因、漏洞注入方式及其危害进行了系统的概述,然后重点分析和比较了几种SQL注入漏洞检测技术的优缺点,之后归纳了三种在不同层次上抵抗sql注入攻击的防御技术,最后在总结现有技术的基础上,指出了未来的研究重点和方向。

关键词：网络安全 sql注入攻击 SQL注入漏洞检测与防御

基于数据流分析的SQL注入漏洞发现技术研究

在线全文

学校读者我要写书评

暂无评论

微计算机信息 2010年第15期26卷 163-165页

作者：谢亿鑫孙乐昌刘京菊电子工程学院网络工程系合肥230037

提出了一种新的SQL注入漏洞发现方法。在前人"污染值传播"概念的基础上,通过构建Web应用程序的控制流图,对不同控制流图结点指派合适的转换函数,跟踪污染值在程序中的传播过程,从而发现并定位源代码中存在的SQL注入漏洞。方法对用不同... 详细信息

提出了一种新的SQL注入漏洞发现方法。在前人"污染值传播"概念的基础上,通过构建Web应用程序的控制流图,对不同控制流图结点指派合适的转换函数,跟踪污染值在程序中的传播过程,从而发现并定位源代码中存在的SQL注入漏洞。方法对用不同脚本语言编写的Web应用程序中SQL注入漏洞的发现具有通用性和有效性。

关键词： SQL注入漏洞数据流分析污染值