Web應(yīng)用SQL注入漏洞測(cè)試系統(tǒng)研究與實(shí)現(xiàn)

1、 國(guó)內(nèi)圖書(shū)分類(lèi)號(hào): 密級(jí):公開(kāi)國(guó)際圖書(shū)分類(lèi)號(hào):西南交通大學(xué)研究生學(xué)位論文年姓申請(qǐng)學(xué)位級(jí)別王堂亟±業(yè)專(zhuān) 信。氳塞全指導(dǎo)老師威建淮直王二零一三年六月一令一二,牛/、月 :.:廠(chǎng) : 西南交通大學(xué)學(xué)位論文版權(quán)使用授權(quán)書(shū)本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定,同意學(xué)校保留并向國(guó)家有關(guān)部門(mén)或機(jī)構(gòu)送交論文的復(fù)印件和電子版,允許論文被查閱和借閱。本人授權(quán)西南交通大學(xué)可以將本論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn)行檢索,可以采用影印、縮印或掃描等復(fù)印手段保存和匯編本學(xué)位論文。本學(xué)位論文屬于.保密口,在 年解密后適用本授權(quán)書(shū);.不保密日,使用本授權(quán)書(shū)。請(qǐng)?jiān)谝陨戏娇騼?nèi)打“巾指導(dǎo)老師簽名:學(xué)

2、位論文作者簽名:威牽日期:哆.專(zhuān)日期:加?多西南交通大學(xué)碩士學(xué)位論文主要工作貢獻(xiàn)聲明本人在學(xué)位論文中所做的主要工作或貢獻(xiàn)如下:.在漏洞測(cè)試方法方面,研究了現(xiàn)有的注入漏洞檢測(cè)技術(shù)及其存在的問(wèn)題,發(fā)現(xiàn)這些技術(shù)對(duì)于那些加入防過(guò)濾機(jī)制的站點(diǎn)來(lái)說(shuō),不能很好地檢測(cè)到漏洞。故提出了一種改進(jìn)的漏洞檢測(cè)方法,改進(jìn)的重點(diǎn)是在傳統(tǒng)檢測(cè)方法的基礎(chǔ)上,加入了深度測(cè)試環(huán)節(jié),解決了傳統(tǒng)的漏洞檢測(cè)方法存在的若干問(wèn)題,包括使用的測(cè)試用例不具代表性,測(cè)試用例較簡(jiǎn)單以及不能及時(shí)分析漏洞形成的原因等問(wèn)題。.在研究注入攻擊原理、過(guò)程的基礎(chǔ)上,發(fā)現(xiàn)單一的防范措施如使用參數(shù)化語(yǔ)句或者存儲(chǔ)過(guò)程,只能阻止一般的注入攻擊,都不能有效避免注入漏洞

3、的存在。因此本文探討了一種綜合性的防御框架,它包括三個(gè)部分,即存儲(chǔ)過(guò)程、參數(shù)化語(yǔ)句以及對(duì)存儲(chǔ)過(guò)程執(zhí)行權(quán)限的驗(yàn)證。該框架彌補(bǔ)了單一防范措施存在的不足,能防范大部分注入攻擊,在很大程度上降低了系統(tǒng)遭注入攻擊的風(fēng)險(xiǎn)。.在研究注入攻擊技術(shù)和漏洞檢測(cè)技術(shù)的基礎(chǔ)上,設(shè)計(jì)并實(shí)現(xiàn)了應(yīng)用注入漏洞測(cè)試系統(tǒng)。系統(tǒng)提供了諸如單一網(wǎng)站的掃描、觀(guān)察掃描過(guò)程以及輸出掃描報(bào)告等常規(guī)功能,同時(shí)也提供了多網(wǎng)站的掃描、孤立的掃描以及獲取網(wǎng)站后臺(tái)管理權(quán)限等不一樣的功能。本人鄭重聲明:所呈交的學(xué)位論文,是在導(dǎo)師指導(dǎo)下獨(dú)立進(jìn)行研究工作所得的成果。除文中已經(jīng)注明引用的內(nèi)容外,本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫(xiě)過(guò)的研究成果。對(duì)本文

4、的研究做出貢獻(xiàn)的個(gè)人和集體,均已在文中作了明確說(shuō)明。本人完全了解違反上述聲明所引起的一切法律責(zé)任將由本人承擔(dān)。學(xué)位論文作者簽名:成曉禮日期:工,?多西南交通大學(xué)碩士研究生學(xué)位論文 第頁(yè)捅 要隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展,技術(shù)在各個(gè)領(lǐng)域都得到了廣泛的應(yīng)用,應(yīng)用系統(tǒng)無(wú)處不在,隨之而來(lái)的是應(yīng)用系統(tǒng)面臨的安全風(fēng)險(xiǎn)與日劇增。由于開(kāi)發(fā)人員缺乏安全編程知識(shí)或經(jīng)驗(yàn),使得開(kāi)發(fā)出來(lái)的應(yīng)用不可避免地出現(xiàn)一些漏洞,其中注入漏洞是最常見(jiàn)的漏洞之一。應(yīng)用漏洞檢測(cè)技術(shù),是一種針對(duì)應(yīng)用的積極防御技術(shù)。該技術(shù)在應(yīng)用尚未遭受攻擊前,模擬黑客攻擊的方式對(duì)目標(biāo)系統(tǒng)進(jìn)行各種探測(cè),發(fā)現(xiàn)系統(tǒng)潛在的漏洞。由于應(yīng)用工作在應(yīng)用層協(xié)議上,所以傳統(tǒng)

5、的防火墻、等網(wǎng)絡(luò)層防護(hù)設(shè)備不能對(duì)其進(jìn)行保護(hù),此時(shí)就需要應(yīng)用漏洞檢測(cè)工具對(duì)系統(tǒng)的應(yīng)用層進(jìn)行保護(hù),二者互補(bǔ)不足,共同保護(hù)系統(tǒng)的安全。應(yīng)用漏洞種類(lèi)很多,本文有針對(duì)性地研究了注入漏洞。在最新發(fā)布的應(yīng)用安全風(fēng)險(xiǎn)報(bào)告中,其中注入漏洞高居榜首,可見(jiàn)該漏洞最受攻擊者關(guān)注,被利用的可能性很高,由此帶來(lái)的安全風(fēng)險(xiǎn)也不斷增加,因此研究注入漏洞的檢測(cè)是一件十分有意義的工作。本文首先分析了應(yīng)用面臨的安全形勢(shì),主流的應(yīng)用漏洞檢測(cè)產(chǎn)品,分析它們的優(yōu)點(diǎn)與不足。接著重點(diǎn)研究了注入漏洞形成的原因、具有的特點(diǎn)、攻擊的過(guò)程以及防御的對(duì)策,以及研究了注入漏洞的檢測(cè)技術(shù)。在此基礎(chǔ)上設(shè)計(jì)了應(yīng)用注入漏洞測(cè)試系統(tǒng)的基礎(chǔ)架構(gòu),描述了各主要組成模

6、塊的功能和工作原理,實(shí)現(xiàn)了系統(tǒng)原型;然后搭建測(cè)試環(huán)境,對(duì)系統(tǒng)的功能進(jìn)行測(cè)試,基本達(dá)到預(yù)期的目標(biāo);最后分析了系統(tǒng)存在不足的地方以及提出了下一步的工作。關(guān)鍵詞:應(yīng)用;漏洞檢測(cè);網(wǎng)絡(luò)爬蟲(chóng);注入西南交通大學(xué)碩士研究生學(xué)位論文 第頁(yè)皇皇皇 曼曼曼曼曼皇曼皇皇皇曼曼曼皇曼曼曼皇曼舅曼曼曼曼曼曼鼉曼曼曼皇苧鼉皇皇曼曼曼曼曼曼量曼曼曼量曼曼曼詈鼉曼鼉曼曼曼曼曼曼皇曼 ,., . . , . ., ,力., .,., . ., ,., .,證 .:; ;西南交通大學(xué)碩士研究生學(xué)位論文 第 頁(yè)目 錄第章緒論.研究背景及意義?.國(guó)內(nèi)外研究現(xiàn)狀?.國(guó)外研究現(xiàn)狀.國(guó)內(nèi)研究現(xiàn)狀.現(xiàn)有注入漏洞測(cè)試系統(tǒng)介紹.知識(shí)介紹?.應(yīng)用

7、架構(gòu).應(yīng)用安全測(cè)試.本文的主要研究?jī)?nèi)容.論文的結(jié)構(gòu)第章注入攻擊技術(shù)研究.注入攻擊概述?.注入攻擊的概念?.注入攻擊產(chǎn)生的原因.注入攻擊的特點(diǎn)?.網(wǎng)絡(luò)爬蟲(chóng).注入攻擊技術(shù)原理?.注入攻擊的方式?.注入攻擊的過(guò)程?.注入攻擊示例?.注入攻擊的防范措施.現(xiàn)有的主要防范措施.現(xiàn)有防范措施存在的不足?.一種改進(jìn)的注入防范框架.本章小結(jié).第章注入漏洞檢測(cè)技術(shù)研究?.傳統(tǒng)的漏洞檢測(cè)方法.敏感信息測(cè)試?.初步測(cè)試?.傳統(tǒng)檢測(cè)方法存在的問(wèn)題?.基于等級(jí)劃分的漏洞檢測(cè)方法.初級(jí)漏洞的劃分.中級(jí)漏洞的劃分?第西南交通大學(xué)碩士研究生學(xué)位論文 頁(yè).皇詈曼曼曼曼曼曼曼曼曼曼曼舅曼皇曼皇嘗曼?一 一一一一一?皇一一一一一一

8、一.高級(jí)漏洞的劃分.一種改進(jìn)的漏洞檢測(cè)方法?.本章小結(jié).第章 應(yīng)用注入漏洞測(cè)試系統(tǒng)總體設(shè)計(jì).系統(tǒng)需求分析.系統(tǒng)設(shè)計(jì)目標(biāo)?.系統(tǒng)設(shè)計(jì)原則?.系統(tǒng)總體架構(gòu)設(shè)計(jì).系統(tǒng)功能模塊設(shè)計(jì).運(yùn)行和開(kāi)發(fā)環(huán)境?.本章小結(jié).第章 應(yīng)用注入漏洞測(cè)試系統(tǒng)的實(shí)現(xiàn)?.網(wǎng)絡(luò)爬蟲(chóng)模塊.網(wǎng)絡(luò)爬蟲(chóng)模塊的主要功能?.網(wǎng)絡(luò)爬蟲(chóng)模塊的主要結(jié)構(gòu)?.網(wǎng)絡(luò)爬蟲(chóng)模塊的實(shí)現(xiàn).漏洞檢測(cè)模塊.漏洞檢測(cè)模塊的主要功能?.漏洞檢測(cè)模塊的主要結(jié)構(gòu)?.漏洞檢測(cè)模塊的實(shí)現(xiàn).漏洞利用模塊.漏洞利用模塊的主要功能?.漏洞利用模塊的主要結(jié)構(gòu)?.漏洞利用模塊的實(shí)現(xiàn).管理界面模塊.系統(tǒng)測(cè)試.同類(lèi)軟件的對(duì)比測(cè)試.本章小結(jié).總結(jié)與展望?.致謝.參考文獻(xiàn)攻讀碩士學(xué)位期間發(fā)表的

9、論文及科研成果?.西南交通大學(xué)碩士研究生學(xué)位論文 第頁(yè)擊者無(wú)須具備專(zhuān)業(yè)的注入知識(shí),甚至在不熟悉相關(guān)知識(shí)的背景下,也可利用一些好的注入工具完成對(duì)應(yīng)用的攻擊。也就是說(shuō)實(shí)施該類(lèi)攻擊的門(mén)檻比較低,自然得到了廣大攻擊者的青睞。根據(jù)在年月公布的對(duì)網(wǎng)站威脅最高的十種攻擊中,近三年來(lái),注入攻擊一直位居第一【】,由此可見(jiàn)其危害極大。本文設(shè)計(jì)的應(yīng)用注入漏洞測(cè)試系統(tǒng)工作在應(yīng)用層協(xié)議上,主要是對(duì)網(wǎng)站進(jìn)行注入漏洞的檢測(cè),通過(guò)提交具有特定漏洞特征的請(qǐng)求,根據(jù)服務(wù)器的應(yīng)答來(lái)判斷系統(tǒng)是否具有注入漏洞。若存在此類(lèi)漏洞,則模擬黑客攻擊的方式對(duì)網(wǎng)站進(jìn)行滲透測(cè)試,這樣可以讓用戶(hù)及時(shí)發(fā)現(xiàn)網(wǎng)站面臨的風(fēng)險(xiǎn),并進(jìn)行補(bǔ)救,大大降低了網(wǎng)站被攻擊

10、的風(fēng)險(xiǎn)。注入問(wèn)題在安全中日益突出,因此進(jìn)行注入漏洞的研究是一件很有意義的工作。組織發(fā)布的安全風(fēng)險(xiǎn)報(bào)告 如表.所示:表 ? ? ? 注入跨站腳本冷 陋入失效的身份認(rèn)證和會(huì)話(huà)管理玲 障入漏洞 喳站腳本跨站腳本玲 泌意文件執(zhí)行 陜效的身份認(rèn)證和會(huì)話(huà)管理不安全的直接對(duì)象引用羚防安全的直接對(duì)象引用 疹安全的直接對(duì)象引用給 跨站請(qǐng)求偽造 跨站請(qǐng)求偽造 巨全配置錯(cuò)誤敏感數(shù)據(jù)泄露巨處理露和 恰當(dāng)?shù)腻e(cuò)誤產(chǎn)全配置錯(cuò)誤函數(shù)級(jí)訪(fǎng)問(wèn)控制缺失蓮效的身份認(rèn)證和會(huì)話(huà)管不安全的加密存儲(chǔ)跨站請(qǐng)求偽造冷陌安全的加密存儲(chǔ) 陋有限制訪(fǎng)問(wèn)已知漏洞組件的使用江陌安全的通信 睜輸層保護(hù)不足未驗(yàn)證的重定向和轉(zhuǎn)發(fā);隧有限制訪(fǎng)問(wèn) 磚驗(yàn)證的重定向和

11、轉(zhuǎn)發(fā).國(guó)內(nèi)外研究現(xiàn)狀對(duì)于注入攻擊的研究,主要集中在檢測(cè)和防范兩個(gè)方面。在檢測(cè)方面,國(guó)內(nèi)學(xué)者提出了很多檢測(cè)方法和策略【.】,而國(guó)外研究更多一些,提出了不少有效的檢測(cè)工具,國(guó)內(nèi)的一些工具則主要集中在注入攻擊方面。.國(guó)外研究現(xiàn)狀注入攻擊最早在國(guó)外被發(fā)現(xiàn),國(guó)外針對(duì)該類(lèi)攻擊的檢測(cè)研究的比較多,集中在兩個(gè)方面:漏洞檢測(cè)和攻擊防御。其中漏洞檢測(cè)是國(guó)內(nèi)研究嚴(yán)重不足的地方。針對(duì)注入的檢測(cè)和防范主要方法有以下幾種:.編碼機(jī)制【,主要通過(guò)四種方法對(duì)注入攻擊進(jìn)行防范:編碼用戶(hù)的輸入內(nèi)容、檢測(cè)用戶(hù)的輸入類(lèi)型、正模式匹配、識(shí)別輸入源。西南交通大學(xué)碩士研究生學(xué)位論文 第頁(yè).靜態(tài)分析,是指通過(guò)在應(yīng)用程序中分析查詢(xún)語(yǔ)句以檢測(cè)和

12、防止注入攻擊,其重點(diǎn)不是檢測(cè)注入攻擊,而是驗(yàn)證用戶(hù)的輸入類(lèi)型以減少潛在的注入攻擊。.】通過(guò)字符串分析庫(kù)驗(yàn)證實(shí)時(shí)環(huán)境下用戶(hù)所輸入的內(nèi)容,以防止注入攻擊。但是如果攻擊者使用正常的類(lèi)型和語(yǔ)法,該方法就不能有效的發(fā)揮作用,而且該方法也需要經(jīng)常修改應(yīng)用程序。.動(dòng)態(tài)分析,不同于靜態(tài)分析,它在不對(duì)應(yīng)用程序做任何修改的前提下,能【】使用輸入流分析和輸入驗(yàn)證分析建立夠找到注入攻擊的漏洞。如一個(gè)白盒,對(duì)輸入數(shù)據(jù)進(jìn)行白盒測(cè)試以查找注入漏洞。由于不需要進(jìn)行應(yīng)用程序調(diào)整,所以動(dòng)態(tài)分析方法有很大的優(yōu)勢(shì),但該方法的缺點(diǎn)是,應(yīng)用程序中的漏洞必須是已經(jīng)得到開(kāi)發(fā)者確認(rèn)的漏洞,不能全部發(fā)現(xiàn)那些沒(méi)有預(yù)先定義的攻擊。.結(jié)合靜態(tài)分析和動(dòng)

13、態(tài)分析。這種方法充分利用了它們各自的優(yōu)點(diǎn),如通過(guò)對(duì)比靜態(tài)查詢(xún)和動(dòng)態(tài)查詢(xún)來(lái)對(duì)注入攻擊進(jìn)行檢測(cè),”】提出使用一個(gè)控制流圖對(duì)比并分析存儲(chǔ)過(guò)程和運(yùn)行時(shí)的用戶(hù)的查詢(xún)以檢測(cè)注入攻擊。.隨機(jī)指令集基于隨機(jī)指令集的方法,它允許開(kāi)發(fā)人員使用隨機(jī)指令代替普通的關(guān)鍵字來(lái)創(chuàng)建查詢(xún)語(yǔ)句,具體的實(shí)現(xiàn)是在查詢(xún)提交給數(shù)據(jù)庫(kù)執(zhí)行之前,通過(guò)代理服務(wù)器攔截查詢(xún)并且將其關(guān)鍵字隨機(jī)化。一般情況下,攻擊者構(gòu)造的查詢(xún)是不會(huì)使用隨機(jī)指令集的,因此,注入的結(jié)果就會(huì)變成有語(yǔ)法錯(cuò)誤的查詢(xún)語(yǔ)句。但是該方法的缺點(diǎn)是只要隨機(jī)值被預(yù)測(cè)出來(lái),便不能繼續(xù)對(duì)注入攻擊的檢測(cè)。.國(guó)內(nèi)研究現(xiàn)狀在注入攻擊方面,國(guó)內(nèi)相對(duì)起步較晚,對(duì)注入漏洞檢測(cè)的研究比較少,大多是根據(jù)注

14、入攻擊的原理和相關(guān)技術(shù)提出一些防御模型,主要包括以下幾個(gè)方面【.】:.提出一些針對(duì)注入攻擊的防范模型。通常應(yīng)用程序負(fù)責(zé)對(duì)用戶(hù)輸入進(jìn)行合法性驗(yàn)證,客戶(hù)端則沒(méi)有相應(yīng)的驗(yàn)證機(jī)制,針對(duì)這一情況,有學(xué)者提出在客戶(hù)端和服務(wù)器端對(duì)用戶(hù)輸入都進(jìn)行驗(yàn)證的雙重驗(yàn)證機(jī)制。.用戶(hù)輸入的合法性驗(yàn)證。比如提供白名單或者黑名單機(jī)制就可以有效過(guò)濾一些特殊字符。.屏蔽錯(cuò)誤提示。為了探測(cè)目標(biāo)站點(diǎn)的服務(wù)器類(lèi)型或后臺(tái)數(shù)據(jù)庫(kù)類(lèi)型,攻擊者提交特殊構(gòu)造的請(qǐng)求,如果服務(wù)器返回錯(cuò)誤提示,則攻擊者會(huì)從錯(cuò)誤提示中找到相關(guān)線(xiàn)索,以便進(jìn)行下一步的攻擊。.加強(qiáng)服務(wù)器自身的安全,安全配置數(shù)據(jù)庫(kù),限制普通用戶(hù)的訪(fǎng)問(wèn)權(quán)限。.使用參數(shù)化語(yǔ)句。開(kāi)發(fā)人員主要通過(guò)用

15、戶(hù)輸入構(gòu)造動(dòng)態(tài)字符串提交后臺(tái)數(shù)據(jù)庫(kù)執(zhí)西南交通大學(xué)碩士研究生學(xué)位論文 第頁(yè)行,使用參數(shù)化語(yǔ)句來(lái)代替動(dòng)態(tài)構(gòu)造字符串方法,可以有效減少注入攻擊。.現(xiàn)有注入漏洞測(cè)試系統(tǒng)介紹目前市場(chǎng)上的應(yīng)用安全漏洞檢測(cè)產(chǎn)品基本上來(lái)自國(guó)外,如的、等由于是收費(fèi)軟件,且價(jià)格較貴,操作也比較復(fù)雜,一般的中小企業(yè)無(wú)疑是負(fù)擔(dān)不起的。免費(fèi)的瀏覽器插件 ,盡管能有效檢測(cè)網(wǎng)頁(yè)的表單項(xiàng),但對(duì)動(dòng)態(tài)的檢測(cè)無(wú)能為力。國(guó)內(nèi)的產(chǎn)品則是注重滲透攻擊,在漏洞檢測(cè)方面顯然存在不足之處。著名的和,包括掃描注入點(diǎn)、注入分析、遍歷網(wǎng)站目錄、上傳文件、獲取后臺(tái)管理權(quán)限等功能,是一款很優(yōu)秀的黑客工具。以下是幾種主流產(chǎn)品的介紹【矧:軟件名稱(chēng):開(kāi)發(fā)者:運(yùn)行平臺(tái):/下載

16、地址:/././主要作用:通過(guò)網(wǎng)絡(luò)爬蟲(chóng)測(cè)試網(wǎng)站的安全性,檢測(cè)主流的應(yīng)用程序攻擊,如注入、跨站腳本等。缺點(diǎn):對(duì)含參數(shù)的鏈接及框架式的應(yīng)用程序的分析存在不足,且測(cè)試參數(shù)固定。.軟件名稱(chēng):開(kāi)發(fā)者:運(yùn)行平臺(tái):下載地址:/./主要作用:檢測(cè)應(yīng)用程序中是否存在注入漏洞。缺點(diǎn):只能針對(duì)表單進(jìn)行測(cè)試,而且是單頁(yè)面的分析;不能對(duì)含參數(shù)的鏈接及框架式的應(yīng)用程序進(jìn)行安全檢測(cè)。.軟件名稱(chēng):開(kāi)發(fā)者:運(yùn)行平臺(tái):下載地址:/./主要作用:檢測(cè)常見(jiàn)的應(yīng)用程序漏洞,包括注入,跨站等漏洞。缺點(diǎn):由于它只能對(duì)待測(cè)應(yīng)用進(jìn)行黑盒測(cè)試,因此對(duì)于那些熟悉應(yīng)用程序源西南交通大學(xué)碩士研究生學(xué)位論文 第頁(yè)代碼的開(kāi)發(fā)者來(lái)說(shuō),發(fā)揮的作用很有限。.軟

17、件名稱(chēng):開(kāi)發(fā)者:聯(lián)盟運(yùn)行平臺(tái):/下載地址:/./主要作用:檢測(cè)應(yīng)用程序中是否存在注入漏洞。類(lèi)型的網(wǎng)站進(jìn)行檢測(cè),測(cè)試用例的設(shè)計(jì)較簡(jiǎn)單。缺點(diǎn):只能針對(duì)另外,還有網(wǎng)絡(luò)上公開(kāi)的免費(fèi)注入工具,如、等,可以查看相關(guān)網(wǎng)站信息:/./?？傮w說(shuō)來(lái),這些產(chǎn)品能夠發(fā)現(xiàn)一些站點(diǎn)的漏洞,但也存在一些不足的地方:.掃描針對(duì)性差,有一定的盲目性,浪費(fèi)了系統(tǒng)的資源,導(dǎo)致掃描的效率不高。.漏洞測(cè)試用例比較簡(jiǎn)單,對(duì)一部分頁(yè)面的檢測(cè)可能會(huì)出現(xiàn)差錯(cuò),結(jié)果導(dǎo)致誤報(bào)率增加。.國(guó)內(nèi)的產(chǎn)品基本上是重視入侵,忽視檢測(cè),雖然入侵也能夠發(fā)現(xiàn)目標(biāo)系統(tǒng)的一些漏洞,但同時(shí)很可能忽視了其它漏洞的存在。.存在掃描盲點(diǎn),忽略了對(duì)一些孤立網(wǎng)頁(yè)的掃描,或是只能對(duì)

18、單個(gè)網(wǎng)站進(jìn)行掃描。因此設(shè)計(jì)并實(shí)現(xiàn)一個(gè)能夠?qū)W(wǎng)站進(jìn)行全面而又準(zhǔn)確的注入漏洞掃描系統(tǒng)是必要的。這樣的系統(tǒng)針對(duì)性強(qiáng),專(zhuān)注于注入漏洞,著重于檢測(cè),而非滲透攻擊,測(cè)試用例較豐富,能夠有效檢測(cè)出網(wǎng)站潛在的注入漏洞。.知識(shí)介紹由于應(yīng)用是注入攻擊發(fā)生的平臺(tái),因此了解的相關(guān)知識(shí),能夠更好地認(rèn)識(shí)注入攻擊。.曲應(yīng)用架構(gòu)應(yīng)用通過(guò)瀏覽器發(fā)送請(qǐng)求到服務(wù)端,在服務(wù)器端對(duì)請(qǐng)求做出響應(yīng)后,將處理后的結(jié)果以用戶(hù)能識(shí)別的形式返回到瀏覽器端。通常一個(gè)應(yīng)用程序由以下三層結(jié)構(gòu)組成【,如圖.所示:西南交通大學(xué)碩士研究生學(xué)位論文第頁(yè)邏轔綏 數(shù)據(jù)聯(lián)裟冢緩一一。圖? 應(yīng)用架構(gòu)三層模型.表示層表示層表示用戶(hù)接口部分,是用戶(hù)與系統(tǒng)交互的界面。該層負(fù)

19、責(zé)接收用戶(hù)的輸入,在對(duì)其進(jìn)行必要的檢查后,再傳遞給中間層,中間層將處理后的結(jié)果以用戶(hù)能識(shí)別的方式返回到表示層。.中間層也稱(chēng)為業(yè)務(wù)邏輯層,通常由服務(wù)器和應(yīng)用服務(wù)器組成。應(yīng)用的功能也主要由該層體現(xiàn)出來(lái),顯然是整個(gè)分層模型中最重要的一層。這一層一方面為表示層提供功能調(diào)用,另一方面它也調(diào)用數(shù)據(jù)層提供的功能來(lái)連接和訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)。.數(shù)據(jù)層數(shù)據(jù)層主要是實(shí)現(xiàn)應(yīng)用程序與數(shù)據(jù)庫(kù)的交互,應(yīng)用程序在連接數(shù)據(jù)庫(kù)成功后,通過(guò)方式向數(shù)據(jù)庫(kù)提出數(shù)據(jù)處理請(qǐng)求,對(duì)其中的相關(guān)數(shù)據(jù)進(jìn)行查詢(xún)、更新、刪除等操作,并將處理后的結(jié)果提交給服務(wù)器,再由服務(wù)器返回給客戶(hù)端。.應(yīng)用安全測(cè)試對(duì)于系統(tǒng)來(lái)說(shuō),由于其開(kāi)發(fā)周期較短,開(kāi)發(fā)人員技術(shù)水平參差不齊,

20、所以系統(tǒng)代碼存在安全缺陷的可能性很大,這里的缺陷也可稱(chēng)為漏洞或。在漏洞未被非法利用的情況下,系統(tǒng)仍能正常工作,似乎看起來(lái)與沒(méi)有漏洞的系統(tǒng)一樣。一旦漏洞被黑客利用,后果可能是災(zāi)難性的。應(yīng)用安全測(cè)試,是以發(fā)現(xiàn)系統(tǒng)本身存在的漏洞為目的。不同于普通的功能測(cè)試,該類(lèi)測(cè)試通常是模擬攻擊者的行為,用到的測(cè)試用例也是系統(tǒng)正常使用時(shí)不可能出現(xiàn)的,或者說(shuō)不允許使用的非法輸入【。普通功能測(cè)試的重點(diǎn)在于驗(yàn)證系統(tǒng)本身的功能是否達(dá)到系統(tǒng)設(shè)計(jì)的功能需求,而安全測(cè)試的重點(diǎn)則是盡力發(fā)現(xiàn)系統(tǒng)自身是否存在漏洞,漏洞本身的存在一般不影響系統(tǒng)的正常工作,也就是說(shuō)不影響對(duì)系統(tǒng)功能的使用。,習(xí)安全測(cè)試,是一種著重于發(fā)現(xiàn)系統(tǒng)被入侵、滲透的深

21、層次問(wèn)題,著眼于提前修復(fù)系統(tǒng)存在的安全漏洞,是一種積極的防忠于未然的做法【】。而傳統(tǒng)的防火墻、等只是作為被動(dòng)防御的手段,只能系統(tǒng)遭受攻擊時(shí)才會(huì)發(fā)揮作用,只有將二者結(jié)合起來(lái)使用,才能更好地保護(hù)系統(tǒng)。西南交通大學(xué)碩士研究生學(xué)位論文 第頁(yè)曼曼曼鼉曼曼皇曼曼皇曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼鼉曼曼曼曼蔓曼曼曼曼曼曼曼曼曼 皇苧曼曼鼉曼窟曼皇蔓曼曼曼曼曼曼皇曼曼.本文的主要研究?jī)?nèi)容本文主要研究了注入攻擊技術(shù)和注入漏洞檢測(cè)技術(shù),在此基礎(chǔ)上設(shè)計(jì)了應(yīng)用注入漏洞測(cè)試系統(tǒng)。系統(tǒng)首先對(duì)目標(biāo)站點(diǎn)進(jìn)行爬蟲(chóng),得到可能含有漏洞的站點(diǎn)列表,然后隨機(jī)選擇一個(gè),在不影響網(wǎng)站正常運(yùn)作的前提下,從攻擊者的角度對(duì)目標(biāo)站點(diǎn)進(jìn)行滲

22、透攻擊,最后得到掃描評(píng)估報(bào)告。以便在網(wǎng)站未遭受真正的攻擊之前,對(duì)其進(jìn)行漏洞修補(bǔ)。主要內(nèi)容如下:.研究注入相關(guān)攻擊技術(shù)與防御技術(shù)。.在研究現(xiàn)有漏洞測(cè)試方法的基礎(chǔ)上,提出了一種改進(jìn)的漏洞測(cè)試方法。.設(shè)計(jì)并實(shí)現(xiàn)應(yīng)用注入漏洞測(cè)試系統(tǒng)。.論文的結(jié)構(gòu)全文共分為六章:第一章緒論,介紹了課題的研究背景、研究意義、研究?jī)?nèi)容以及的相關(guān)知識(shí)。第二章注入攻擊技術(shù)研究,介紹了注入攻擊的概念、特點(diǎn)、危害性、攻擊的過(guò)程以及防范注入攻擊的對(duì)策,在分析現(xiàn)有防范對(duì)策存在不足的基礎(chǔ)上,提出了一種綜合的注入防御框架。第三章注入漏洞檢測(cè)技術(shù)研究,首先介紹了傳統(tǒng)的漏洞檢測(cè)方法,并在分析其優(yōu)點(diǎn)與不足的基礎(chǔ)上,提出了一種改進(jìn)的漏洞檢測(cè)方法。

23、第四章應(yīng)用注入漏洞測(cè)試系統(tǒng)總體設(shè)計(jì),主要對(duì)系統(tǒng)的需求分析、整體結(jié)構(gòu)設(shè)計(jì)以及開(kāi)發(fā)環(huán)境進(jìn)行了說(shuō)明。第五章應(yīng)用注入漏洞測(cè)試系統(tǒng)的實(shí)現(xiàn),按照對(duì)系統(tǒng)結(jié)構(gòu)的整體設(shè)計(jì),實(shí)現(xiàn)各主要功能模塊,并對(duì)實(shí)現(xiàn)后的系統(tǒng)進(jìn)行測(cè)試。第六章,總結(jié)與展望,對(duì)課題進(jìn)行總結(jié),分析其中的不足,提出下一步的工作。西南交通大學(xué)碩士研究生學(xué)位論文 第頁(yè)第二章注入攻擊技術(shù)研究只有對(duì)攻擊技術(shù)有了足夠的認(rèn)識(shí),才能有針對(duì)性提出一些檢測(cè)方法。本章就注入攻擊的相關(guān)理論,做了詳細(xì)的分析和總結(jié)。.注入攻擊概述.注入攻擊的概念是主流數(shù)據(jù)庫(kù)使用的標(biāo)準(zhǔn)語(yǔ)言【】,大多數(shù)應(yīng)用都需要與數(shù)據(jù)庫(kù)進(jìn)行交互。盡管不同的應(yīng)用可能由不同的編程語(yǔ)言實(shí)現(xiàn),但都提供了可編程的方法與數(shù)據(jù)

24、庫(kù)進(jìn)行連接和交互。注入是指應(yīng)用程序未對(duì)用戶(hù)輸入進(jìn)行過(guò)濾和有效的驗(yàn)證,允許攻擊者在用戶(hù)輸入的查詢(xún)字符串后或是表單域里插入特殊的字符,構(gòu)造動(dòng)態(tài)的語(yǔ)句,提交數(shù)據(jù)庫(kù)執(zhí)行,以達(dá)到注入的目的。注入漏洞是一種針對(duì)數(shù)據(jù)庫(kù)攻擊的漏洞,而不是數(shù)據(jù)庫(kù)本身存在漏洞,也不是服務(wù)器端或操作系統(tǒng)的漏洞,而是屬于應(yīng)用程序漏洞之。注入攻擊就其本質(zhì)而言,利用語(yǔ)法,針對(duì)應(yīng)用程序自身可能存在的漏洞,“當(dāng)攻擊者能夠操作數(shù)據(jù),往應(yīng)用程序中插入一些語(yǔ)句時(shí),注入攻擊就發(fā)生了,【。 攻擊者通過(guò)在查詢(xún)操作中插入一系列的將注入定義為【:語(yǔ)句到應(yīng)用程序中來(lái)操作數(shù)據(jù)。微軟技術(shù)中心從兩個(gè)方面進(jìn)行了描述【】:腳給出本注入式的攻擊;惡意用戶(hù)輸入用來(lái)影響被執(zhí)

25、行的腳本。了注入的一個(gè)特征:“從一個(gè)數(shù)據(jù)庫(kù)獲得未經(jīng)授權(quán)的訪(fǎng)問(wèn)和直接檢索”。.注入攻擊產(chǎn)生的原因應(yīng)用程序自身存在缺陷應(yīng)用程序自身存在缺陷是導(dǎo)致注入攻擊發(fā)生的主要原因。應(yīng)用開(kāi)發(fā)周期短,加上開(kāi)發(fā)人員的安全意識(shí)不夠或是安全編程經(jīng)驗(yàn)不足,造成應(yīng)用程序存在漏洞的情況屢見(jiàn)不鮮。很多開(kāi)發(fā)人員在開(kāi)發(fā)的過(guò)程中,未對(duì)用戶(hù)的輸入進(jìn)行合理有效的過(guò)濾和驗(yàn)證,攻擊者通過(guò)在的請(qǐng)求字符串或表單域里輸入惡意的字符以構(gòu)造特殊的語(yǔ)句,提交后臺(tái)數(shù)據(jù)庫(kù)執(zhí)行,以達(dá)到其特殊目的。開(kāi)發(fā)人員使用構(gòu)造動(dòng)態(tài)字符串技術(shù)動(dòng)態(tài)構(gòu)造字符串是一種編程技術(shù),它允許開(kāi)發(fā)人員在應(yīng)用運(yùn)行的過(guò)程中,根據(jù)用戶(hù)的輸入動(dòng)態(tài)構(gòu)造語(yǔ)句。動(dòng)態(tài)語(yǔ)句是在運(yùn)行過(guò)程中構(gòu)造的,它根據(jù)用戶(hù)輸

26、入的不同條件得到不同的語(yǔ)句。而語(yǔ)句是在應(yīng)用配置的數(shù)據(jù)中被執(zhí)行,產(chǎn)生用戶(hù)所需要的信息,因此開(kāi)發(fā)人員可以使用動(dòng)態(tài)來(lái)創(chuàng)建通用、靈活的應(yīng)用。從表面上看來(lái),動(dòng)態(tài)技術(shù)使得應(yīng)用的創(chuàng)建變得簡(jiǎn)單,然而也帶來(lái)了潛在的安西南交通大學(xué)碩士研究生學(xué)位論文 第 頁(yè)全隱患。當(dāng)提交給后臺(tái)數(shù)據(jù)庫(kù)執(zhí)行的語(yǔ)句含有單引號(hào)時(shí),會(huì)將單引號(hào)解析成代碼與數(shù)據(jù)間的分界線(xiàn):假定單引號(hào)外面的內(nèi)容都是需要運(yùn)行的代碼,而單引號(hào)里面的內(nèi)容都是數(shù)據(jù)。這時(shí),我們只需在或網(wǎng)頁(yè)的表單字段輸入一個(gè)單引號(hào),在被提交后,可以根據(jù)站點(diǎn)的響應(yīng)對(duì)是否存在注入漏洞作出快速判斷。下面是一個(gè)簡(jiǎn)單應(yīng)用的源代碼,它將用戶(hù)輸入直接傳遞給動(dòng)態(tài)創(chuàng)建的語(yǔ)句并執(zhí)行:、/一牛 一”】;:這是因

27、為單引號(hào)字符數(shù)據(jù)庫(kù)解析成了字符串分隔符,所以才會(huì)拋出上面的異常。在注入攻擊中,攻擊者往往使用該字符轉(zhuǎn)義開(kāi)發(fā)人員的查詢(xún)以便構(gòu)造自己的查詢(xún)。既然單引號(hào)字符會(huì)被解析成字符串分隔符并作為代碼與數(shù)據(jù)間的分界線(xiàn),可能有人認(rèn)為只需對(duì)用戶(hù)輸入驗(yàn)證、屏蔽單引號(hào),就可以避免被注入,實(shí)際上很多應(yīng)用開(kāi)發(fā)人員已經(jīng)陷入這種錯(cuò)誤的思維模式。在處理數(shù)字?jǐn)?shù)據(jù)時(shí),不需要使用單引號(hào)把數(shù)據(jù)括起來(lái),否則數(shù)字?jǐn)?shù)據(jù)會(huì)被當(dāng)做字符串處理。下面是一個(gè)簡(jiǎn)單應(yīng)用的源代碼,它接受用戶(hù)的輸入并構(gòu)造動(dòng)態(tài)語(yǔ)句。該腳本通過(guò)接受一個(gè)數(shù)字參數(shù)來(lái)顯示用戶(hù)的信息。假設(shè)該查詢(xún)參數(shù)是整數(shù),故在輸入的時(shí)候沒(méi)有加單引號(hào)。/”】;/ .;數(shù)據(jù)庫(kù)配置不當(dāng)數(shù)據(jù)庫(kù)的配置不當(dāng)也會(huì)引發(fā)

28、該類(lèi)攻擊。就數(shù)據(jù)庫(kù)本身而言,由于它有較為完善的身份認(rèn)證機(jī)制,一般情況下外界是無(wú)法直接訪(fǎng)問(wèn)的,因此很難實(shí)施入侵。但是當(dāng)數(shù)據(jù)庫(kù)配置在系統(tǒng)中時(shí),如果權(quán)限設(shè)置不當(dāng),給予的權(quán)限較高,甚至賦予管理員的權(quán)限,則攻擊者可以任意操作數(shù)據(jù)庫(kù)中的數(shù)據(jù)。.注入攻擊的特點(diǎn)目前注入攻擊成為網(wǎng)絡(luò)攻擊的主要來(lái)源,在某些情況下注入漏洞的風(fēng)醫(yī).要遠(yuǎn)高于所有其它漏洞,有以下特點(diǎn)【:.隱蔽性高只要攻擊者以合法用戶(hù)的身份登錄系統(tǒng)并使用其提供的服務(wù),那么注入跟普西南交通大學(xué)碩士研究生學(xué)位論文 第頁(yè)通的.網(wǎng)頁(yè)訪(fǎng)問(wèn)差不多。由于該類(lèi)攻擊使用的是協(xié)議的端口,普通的防火墻不對(duì)其告警,如果攻擊者不故意留下痕跡,而管理員又沒(méi)有查看后臺(tái)數(shù)據(jù)庫(kù)日志的習(xí)慣

29、,可能系統(tǒng)被入侵很長(zhǎng)時(shí)間也不會(huì)被發(fā)覺(jué)。.廣泛性目前絕大部分系統(tǒng)都需要與數(shù)據(jù)庫(kù)進(jìn)行連接,因此只要是需要提交數(shù)據(jù)到數(shù)據(jù)庫(kù)執(zhí)行的應(yīng)用程序,都有可能存在注入漏洞。.技術(shù)難度低攻擊者無(wú)需熟悉語(yǔ)法,甚至在不了解語(yǔ)法的情況下,使用黑客工具就可實(shí)施簡(jiǎn)單的注入攻擊。當(dāng)然資深的攻擊者,必須熟練掌握語(yǔ)法,才能保證成功實(shí)現(xiàn)注入的概率。.危害大倘若攻擊者成功實(shí)現(xiàn)注入攻擊,則可竊取數(shù)據(jù)庫(kù)中的敏感信息,攻擊者可以隨意修改、刪除數(shù)據(jù)庫(kù)中的數(shù)據(jù)。更為嚴(yán)重的是,如果數(shù)據(jù)庫(kù)設(shè)置權(quán)限較低,在攻擊者成功提升權(quán)限后,甚至可以滲透操作系統(tǒng),獲取系統(tǒng)的管理權(quán)限。.網(wǎng)絡(luò)爬蟲(chóng)網(wǎng)絡(luò)爬蟲(chóng)是一個(gè)網(wǎng)頁(yè)自動(dòng)抓取程序,它為搜索引擎從互聯(lián)網(wǎng)上下載網(wǎng)頁(yè),是搜索

30、引擎的重要組成部分【。它的主要任務(wù)是,從訪(fǎng)問(wèn)網(wǎng)站的主頁(yè)開(kāi)始,下載主頁(yè)的源碼,并提取其中的鏈接,再打開(kāi)新的鏈接,下載子網(wǎng)頁(yè)的源碼,繼續(xù)提取其中的鏈接,不斷重復(fù)上述過(guò)程,直到滿(mǎn)足系統(tǒng)的某種標(biāo)準(zhǔn)為止【】網(wǎng)絡(luò)爬蟲(chóng)流程如圖.:西南交通大學(xué)碩士研究生學(xué)位論文 第 頁(yè)網(wǎng)絡(luò)爬蟲(chóng)流程圖網(wǎng)頁(yè)抓取策略,可以分為深度優(yōu)先遍歷、廣度優(yōu)先遍歷以及最佳優(yōu)先遍歷三種方式。本文設(shè)計(jì)的網(wǎng)絡(luò)爬蟲(chóng)模塊選擇廣度優(yōu)先策略【,在模塊的實(shí)現(xiàn)中采用多線(xiàn)程并發(fā)爬行的設(shè)計(jì),應(yīng)開(kāi)啟多個(gè)爬行線(xiàn)程并讓等待中的線(xiàn)程阻塞,既能充分地利用閑置的網(wǎng)絡(luò)資源,又盡可能地減少了同時(shí)占有的線(xiàn)程數(shù)量,縮短線(xiàn)程執(zhí)行周期,從而提高了搜索的效率。.注入攻擊技術(shù)原理.注入攻擊的

31、方式注入攻擊的方式雖然有很多種,但就其本質(zhì)而言是一樣的,攻擊者都是利用用戶(hù)的輸入,構(gòu)造特殊的語(yǔ)句,提交后臺(tái)數(shù)據(jù)庫(kù)執(zhí)行,以達(dá)到其特殊目的。主要有以下幾種方式:重言式攻擊這種攻擊是攻擊者在語(yǔ)句的查詢(xún)條件中注入代碼實(shí)現(xiàn)的,使得條件字句的結(jié)果恒為真,目的通常是為了繞開(kāi)服務(wù)器對(duì)用戶(hù)的身份認(rèn)證,識(shí)別可注入的參數(shù)和提取數(shù)據(jù)庫(kù)中的數(shù)據(jù)。邏輯錯(cuò)誤的查詢(xún)攻擊西南交通大學(xué)碩士研究生學(xué)位論文 第 頁(yè) 攻擊者故意用注入語(yǔ)句導(dǎo)致數(shù)據(jù)庫(kù)出現(xiàn)類(lèi)型錯(cuò)誤、語(yǔ)法錯(cuò)誤或是邏輯錯(cuò)誤,目的是識(shí)別可注入的參數(shù)、判斷數(shù)據(jù)庫(kù)的關(guān)系結(jié)構(gòu),這是攻擊者進(jìn)行其他攻擊的前提條件。查詢(xún)攻擊關(guān)鍵字可以連接兩個(gè)不同的子句,在將兩個(gè)語(yǔ)句的查詢(xún)結(jié)果排序以后,刪除

32、重復(fù)的記錄以后,得到最后的結(jié)果集。攻擊者通過(guò)構(gòu)造查詢(xún),并將其注入到正常的語(yǔ)句中,從而得到自己所需的信息。利用存儲(chǔ)過(guò)程攻擊存儲(chǔ)過(guò)程分為兩種:系統(tǒng)存儲(chǔ)過(guò)程和用戶(hù)自定義的存儲(chǔ)過(guò)程。系統(tǒng)存儲(chǔ)過(guò)程主要是為了方便系統(tǒng)管理員管理數(shù)據(jù)庫(kù),比如了解數(shù)據(jù)庫(kù)信息、數(shù)據(jù)庫(kù)對(duì)象以及擴(kuò)展數(shù)據(jù)庫(kù)的功能等。只要攻擊者確定了應(yīng)用后臺(tái)數(shù)據(jù)庫(kù)的類(lèi)型,就能夠構(gòu)造命令來(lái)執(zhí)行數(shù)據(jù)庫(kù)所提供的存儲(chǔ)過(guò)程。很多程序員錯(cuò)誤地認(rèn)為使用存儲(chǔ)過(guò)程可以幫助應(yīng)用避免注入攻擊,而實(shí)際上存儲(chǔ)過(guò)程和普通的程序一樣存在風(fēng)險(xiǎn)。附帶查詢(xún)攻擊在不改變?cè)姓Z(yǔ)句的前提下,攻擊者嘗試在其后面加入新的查詢(xún)語(yǔ)句。這種攻擊一般依賴(lài)于數(shù)據(jù)庫(kù)配置,如果數(shù)據(jù)庫(kù)的配置不支持單個(gè)字符串中包含

33、多個(gè)查詢(xún)語(yǔ)句,則很難發(fā)生該類(lèi)攻擊。盲注由于服務(wù)器沒(méi)有返回具體的數(shù)據(jù)或信息,則只能針對(duì)某一參數(shù)嘗試不同的輸入,根據(jù)相應(yīng)的結(jié)果來(lái)判斷該參數(shù)是否可以注入。替換編碼攻擊有不少應(yīng)用系統(tǒng)都加入防注入程序,攻擊者為了躲避防注入程序的過(guò)濾規(guī)則,就會(huì)對(duì)一些特殊字符進(jìn)行或編碼,而不是直接使用特殊字符本身。.注入攻擊的過(guò)程注入攻擊一般分為以下幾個(gè)步驟【】:.尋找注入點(diǎn)注入點(diǎn)是指存在注入漏洞的網(wǎng)頁(yè)。靜態(tài)網(wǎng)頁(yè)不存在注入,通常是以或者結(jié)尾的。只有帶有查詢(xún)參數(shù)和需要訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的動(dòng)態(tài)網(wǎng)頁(yè)才有可能存在注入漏洞,也即那些帶有“”的。由于請(qǐng)求有和兩種方式,所以注入攻擊有注入和注入兩種方式。根據(jù)數(shù)據(jù)庫(kù)表本身的數(shù)據(jù)類(lèi)型,可以把注入點(diǎn)類(lèi)

34、型分為數(shù)字型、字符型和搜索型。數(shù)據(jù)類(lèi)型的限制在數(shù)據(jù)庫(kù)創(chuàng)建表的時(shí)候就會(huì)出現(xiàn),具有不同數(shù)據(jù)類(lèi)型的數(shù)據(jù)庫(kù)通常是不同的數(shù)據(jù)庫(kù)。比如就有很多自身的數(shù)據(jù)類(lèi)型,但不管怎么去分類(lèi),常用的查詢(xún)數(shù)據(jù)類(lèi)型總是以數(shù)字和字符來(lái)加以區(qū)分。.獲取數(shù)據(jù)庫(kù)類(lèi)型信息西南交通大學(xué)碩士研究生學(xué)位論文 第頁(yè)曼曼蔓曼曼曼曼鼉曼曼曼曼曼皇曼曼曼皇曼鼉皇曼曼鼉曼曼皇曼曼曼一.一一一一一舅不同的數(shù)據(jù)庫(kù),注入方法也不大一樣。就說(shuō)和,它們都有自己的系統(tǒng)表,的系統(tǒng)表是,普通用戶(hù)有讀取表中內(nèi)容的權(quán)限。而的系統(tǒng)表是,普通用戶(hù)卻沒(méi)有權(quán)限讀取表中內(nèi)容。此外使用“,作為數(shù)據(jù)庫(kù)系統(tǒng)管理員賬戶(hù),如果攻擊者確認(rèn)應(yīng)用使用的是數(shù)據(jù)庫(kù),可能采用默認(rèn)口令破解手段去獲取系統(tǒng)

35、管理員賬戶(hù)信息。.猜測(cè)數(shù)據(jù)庫(kù)表名,字段名等敏感信息猜測(cè)數(shù)據(jù)庫(kù)表名、字段名不是一件簡(jiǎn)單的任務(wù)【,為了提高猜解的成功率,需要在確認(rèn)待破解表名和字段名的長(zhǎng)度后,再進(jìn)一步判斷表名和字段名。具體做法是在正常的后面添加對(duì)應(yīng)的測(cè)試語(yǔ)句,在請(qǐng)求提交后,根據(jù)服務(wù)器的響應(yīng)來(lái)做判斷。若提交后能得到正常的網(wǎng)頁(yè)內(nèi)容,則說(shuō)明攻擊者假設(shè)的表名或字段名是正確的;反之就是錯(cuò)誤的,就需要做進(jìn)一步的假設(shè)繼續(xù)提交測(cè)試語(yǔ)句,直到能成功顯示網(wǎng)頁(yè)內(nèi)容時(shí)為止。.尋找系統(tǒng)管理后臺(tái)入口通常系統(tǒng)的注冊(cè)用戶(hù)只能以前臺(tái)登錄的方式去訪(fǎng)問(wèn)服務(wù)器,系統(tǒng)管理后臺(tái)的入口地址是不向普通用戶(hù)開(kāi)放的。然而很多系統(tǒng)管理后臺(tái)的入口地址大同小異,都是有跡可循的。在成功進(jìn)入

36、管理后臺(tái)后,就可以利用之前得到的管理員信息登錄系統(tǒng),這時(shí)相當(dāng)于掌握了整個(gè)系統(tǒng)的管理權(quán)限。.注入攻擊示例就可以判斷第一步:提交如下語(yǔ)句:/.該網(wǎng)站是的結(jié)構(gòu),如圖.:西南交通大學(xué)碩士研究生學(xué)位論文 第 頁(yè)二 .麓。一 , 。¨愛(ài)÷÷÷÷。;。贏(yíng)囊麓曩妻纛惹?誓璧望曼卿國(guó)孿鼯國(guó)蠢羞別.塑壘墮羔堡豎:二:.卜壘羔二.曝一。.?參彩¨歪萄否“羲:夠圖攻擊過(guò)程步驟一第二步:需要判斷數(shù)據(jù)庫(kù)中的表結(jié)構(gòu),提交如下語(yǔ)句:/.木問(wèn),若返回網(wǎng)頁(yè)正常如圖,就表明存在一衣。囂戮戮戮琵鬣褫.鰱豳 描二÷.。一日。?;?一,醫(yī)贏(yíng)麗意面瓦蕊善鬲蓐五萬(wàn)夏磊習(xí)鬻

37、匿匱§贏(yíng)?一骱幫助進(jìn) 。:疊一囊文件蚴 嫡輯哩查著收稼夾氈 豆 ,童一童。, ??！?,.¨一。 、¨ , 。 。一落獺囊爨蠹鬣戳嬲轉(zhuǎn)臻黲黧滋自黝灝咎.鬟?童:二緩謄委。黲荔瑟瑟 豢頁(yè)面,蜜全鰳工魚(yú)嘞一翱黲.一 ,浚,彩渤獺一琵卜澎謄:;輛豢疊一之一。毒陵公圈一,黲,. 森;瓣三縫續(xù)輟:.業(yè)務(wù)鍘羧三維槿擬隨著計(jì)篁機(jī)固形圖像處理技術(shù)和處理能力的發(fā)展.三維梗擬技術(shù)的應(yīng)用越來(lái)越廣;乏,苴應(yīng)用領(lǐng)域電:商務(wù)貉幾乎囊括了軍事、教育、醫(yī)學(xué)、制造業(yè)、科學(xué)實(shí)驗(yàn)等所有領(lǐng)域.太古軟件公司利用萁技術(shù)優(yōu)勢(shì).開(kāi)發(fā)了墩掇瑾變?nèi)S消防模擬訓(xùn)練智;軟件系蔓殼、城市梗擬系統(tǒng)等產(chǎn)品. 三維肖防梗損訓(xùn)練

38、智能軟件萊妻充三維消防梗擬訓(xùn)練智能軟件系兢是面向消防部隊(duì)指揮員以滅火技術(shù)、滅火戰(zhàn)術(shù)和火勢(shì)動(dòng)態(tài)發(fā)展過(guò)產(chǎn)品鼴示程等為基礎(chǔ)的三維消防梗擬訓(xùn)練軟件系統(tǒng).用于消防部隊(duì)指揮員滅火作戰(zhàn)的訓(xùn)練.提出利用計(jì)苴機(jī)技術(shù).潮潮?.;.?譬罐建立一套以交互方式模擬接警、洞度、觀(guān)場(chǎng)指揮全過(guò)程梗擬訓(xùn)練累統(tǒng).采用了人工智能、專(zhuān)家系統(tǒng)、虛二娥攆叛豁擬觀(guān)實(shí)、多媒體等先進(jìn)的計(jì)簟機(jī)理論與應(yīng)用技術(shù)?解決了消防部隊(duì)指揮員實(shí)戰(zhàn)訓(xùn)練無(wú)法解決的系列閻胚.鞋 劈纜孝漫赫.一.:.二.:.。.,.。.一。 。疊 瞎簍¨。,鶼奎尊地一“卜型.墮.堡壘竺.:.望壁壘壘垡塑塑耋堡蘭蘭筌鯊墮互二二二:二二壁竺墮墾里墼塑變圖攻擊過(guò)程步驟二第 頁(yè)西

39、南交通大學(xué)碩士研究生學(xué)位論文第三步:判斷數(shù)據(jù)庫(kù)表中字段的結(jié)構(gòu),提交如下語(yǔ)句:/.,若網(wǎng)頁(yè)正常返回如圖,/;就表明表中存在這兩個(gè)字段。蒺鬻霾鬻鬻寥捌零:攀匿蓐面蓼苓蕁幕簿萬(wàn)曩墨習(xí)墮文件理綻輯癯 查看也 收藏夾曲王具瞧 幫助趣“ ?。÷。, 彈 : 。甏卻姆溺籀越黧瑟磣辮孥。戮霉戮努辮。? 。.。.穩(wěn):豳、暖薊頁(yè)面;安壘氌工具迨穆,卜綴每豫幕嗨 磐。?”?一.×韻苒隈公司髟。譬乞霉三縫綆擬照務(wù)捌表三維梗擬隨著計(jì)篡機(jī)圖形圖像處理技術(shù)和處理能力的笈展,三維模擬技術(shù)的應(yīng)用越來(lái)越廣泛,茸應(yīng)用領(lǐng)域籀幾乎囊括了軍事、教育、醫(yī)學(xué)、制造業(yè)、科學(xué)買(mǎi)驗(yàn)等所有領(lǐng)域.太古歇件公司平用萁技術(shù)優(yōu)勢(shì),開(kāi)發(fā)了

40、虛掇理實(shí)三維消防梗擬訓(xùn)練智能軟件系統(tǒng)、城市梗擬系統(tǒng)等產(chǎn)品. 三維消防梗擬訓(xùn)練智能軟件系統(tǒng)三維消防梗擬訓(xùn)練智能軟件系統(tǒng)是面向消防部隊(duì)指揮員以滅火技術(shù)、滅火戰(zhàn)術(shù)和火努動(dòng)態(tài)發(fā)展過(guò)產(chǎn)晶媵示程等為基礎(chǔ)的三維消防梗擬訓(xùn)練軟件系統(tǒng).用于消防部隊(duì)指揮員滅火作戰(zhàn)的訓(xùn)練.提出利用計(jì)簋機(jī)技術(shù)建立一套以交互方式梗擬接警、調(diào)度、現(xiàn)場(chǎng)指揮全過(guò)程模擬訓(xùn)練系統(tǒng).采用了人工智能、專(zhuān)家系統(tǒng)、虛三縫摸掇擬現(xiàn)實(shí)、多嬪體等先進(jìn)的計(jì)簋機(jī)理論與應(yīng)用技術(shù),解決了消防部隊(duì)指揮員實(shí)戰(zhàn)訓(xùn)練無(wú)法解決的系列問(wèn)題.瞧 努憋聲愛(ài)滲: ,。?疊董 。;簟譬矧簦鍪薯蠹警簍奠謄隆墮型國(guó);孝黲黝塾也蘭:.塑:.盤(pán)二。.一二二。二.匱?。露摻瞬溪西爹薔?孬蠆圖攻擊

41、過(guò)程步驟三第四步:判斷管理員賬戶(hù)信息的長(zhǎng)度,包括用戶(hù)名和密碼。首先判斷管理員賬戶(hù)的長(zhǎng)度,提交語(yǔ)句:/.,提交后如果網(wǎng)頁(yè)返回正常,說(shuō)明管理員賬戶(hù)的長(zhǎng)度是。第五步:使用折半查找法猜解管理員賬戶(hù)信息的內(nèi)容,提交語(yǔ)句印朋呶岫., 確認(rèn)后面各位的內(nèi)容。第六步:尋找網(wǎng)站管理后臺(tái)的入口地址,利用上面得到的賬戶(hù)信息登錄網(wǎng)站后臺(tái)管理系統(tǒng)。網(wǎng)站管理后臺(tái)如圖.:,?,確認(rèn)第?位后,順序.西南交通大學(xué)碩士研究生學(xué)位論文 第 頁(yè)匾盈匿毯墨孤匿鍾孤重墨墨圓雹霍豳摩鬟豳嬲溺緩綴綴綴綴戮緩綴蒸緩戮藜毒捌捌雹飚。匝露畫(huà)畫(huà)霹燕?刁;蜃零囂眵蕁?露幕助逛她 編輯毽查看瞧收藏夾?工具。茹 ¨ ; ?;,一。¨&#

42、168;落嘲曦鎏裕謄獬蘩麟鬻熬麟礦一國(guó)網(wǎng)站配置圖三管理首頁(yè) 退出系統(tǒng)固歡迎你:;:。:文章管理動(dòng)惑管理 動(dòng)老添加 簍簡(jiǎn)介管理辯凌蠹賽 爭(zhēng)書(shū)擺聘管理在緩演示 專(zhuān)羔豫戶(hù)管強(qiáng) ÷。系統(tǒng)信息版權(quán)所有:設(shè)計(jì)制作:,技術(shù)支持:,二:.,:.:一¨薯 。 :一圖?攻擊過(guò)程步驟四.注入攻擊的防范措施系統(tǒng)存在注入漏洞的根本原因在于應(yīng)用根據(jù)用戶(hù)的非法輸入,動(dòng)態(tài)構(gòu)造語(yǔ)句并提交給后臺(tái)數(shù)據(jù)庫(kù)解析執(zhí)行。因此,在程序中可以通過(guò)對(duì)用戶(hù)輸入數(shù)據(jù)進(jìn)行有效的驗(yàn)證、嚴(yán)格控制數(shù)據(jù)庫(kù)權(quán)限等方法來(lái)加以防范】。.現(xiàn)有的主要防范措施使用參數(shù)化語(yǔ)句參數(shù)化查詢(xún)是指在語(yǔ)句中嵌入一個(gè)或多個(gè)參數(shù)的查詢(xún),這些嵌入到用戶(hù)輸入中的參數(shù)不會(huì)

43、被解析成命令而執(zhí)行,并且代碼不存在被注入的可能性。這種方法比傳統(tǒng)的使用字符串構(gòu)造技術(shù)來(lái)動(dòng)態(tài)構(gòu)造并執(zhí)行語(yǔ)句的方法擁有更高的執(zhí)行效率,而且也大大提高了安全性。.提供了很多不同的訪(fǎng)問(wèn)接口,它們可以通過(guò).框架來(lái)參數(shù)西南交通大學(xué)碩士研究生學(xué)位論文 第 頁(yè)化語(yǔ)句,此外.還具備對(duì)提供的參數(shù)進(jìn)行迸一步檢查的功能。根據(jù)正在訪(fǎng)問(wèn)的數(shù)據(jù)庫(kù)類(lèi)型的不同,.提供了四種不同的數(shù)據(jù)提供程序,如表.所示:表 .提供的四種數(shù)據(jù)提供程序數(shù)據(jù)提供程序 參數(shù)語(yǔ)法. .:. 帶問(wèn)號(hào)占位符的定位參數(shù). 帶問(wèn)號(hào)占位符的定位參數(shù)以下是一個(gè)易受攻擊的示例查詢(xún),使用數(shù)據(jù)提供對(duì)其重寫(xiě)為.格式的參數(shù)化語(yǔ)句:; “? 上“;,;/ ;.“”,.,.“,

44、., ;.“ ”】.“】;.;接下來(lái)使用數(shù)據(jù)提供程序重寫(xiě)的同一格式的參數(shù)化語(yǔ)句:;:/?“:;,;/ .”,.,;.”,., ;.“”】;.“】;.;最后是使用數(shù)據(jù)提供程序重寫(xiě)的同一格式的參數(shù)化語(yǔ)句:;西南交通大學(xué)碩士研究生學(xué)位論文 第 頁(yè)皇曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼皇蔓曼曼蔓曼蔓曼曼皇 鼉蔓曼皇鼉皇曼皇曼皇曼皇曼曼曼皇曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼璺曼曼曼皇曼曼皇曼一 ”;宰 /.“”,., ;.“”,.,;.“”】.“】;.;檢驗(yàn)用戶(hù)輸入的合法性前面提到的使用參數(shù)化查詢(xún)而避免使用動(dòng)態(tài)來(lái)阻止注入的方法,顯然它不能作為唯一用于應(yīng)對(duì)注入的控制手段。檢驗(yàn)應(yīng)用接收到的輸入的合法性也是一種強(qiáng)大的控

45、制手段。我們知道有兩種驗(yàn)證用戶(hù)輸入的方法:白名單和黑名單,如果用戶(hù)的輸入包含了應(yīng)用未定義的標(biāo)準(zhǔn)內(nèi)容或是使用了應(yīng)用禁止的非法內(nèi)容,則會(huì)提示用戶(hù)要進(jìn)行正確的輸入。此外還可以限制表單或查詢(xún)字符串的最大輸入長(zhǎng)度。白名單驗(yàn)證是只接受已有的良好輸入的操作,接受輸入后,還需驗(yàn)證輸入是否符合所期望的的類(lèi)型、大小、長(zhǎng)度、數(shù)字范圍或其他格式標(biāo)準(zhǔn)。黑名單驗(yàn)證是只拒絕已有的不良輸入的操作,它根據(jù)用戶(hù)的輸入內(nèi)容來(lái)查找是否存在已知的不良字符、字符串或模式。如果輸入中包含明顯的惡意內(nèi)容,則黑名單驗(yàn)證會(huì)提示重新輸入。但是由于未知的不良字符列表很大,因此會(huì)造成黑名單內(nèi)容列表過(guò)大,檢索起來(lái)效率不高且不完整,而且及時(shí)更新這些列表很

46、困難。的優(yōu)勢(shì)在于提供了很多用于輸入驗(yàn)證的內(nèi)置控件,其中以商控件和控斜最為常用。在應(yīng)用中使用這些控僻可以在客戶(hù)端對(duì)用戶(hù)的輸入進(jìn)行驗(yàn)證。下列代碼是使用控件驗(yàn)證用戶(hù)名的示例,規(guī)定用戶(hù)名只能包含字母含大小寫(xiě)并且長(zhǎng)度介于到個(gè)字符之間?！啊薄?:“ “診使用錯(cuò)誤提示屏蔽機(jī)制攻擊者往往通過(guò)提交構(gòu)造的語(yǔ)句,待服務(wù)器后臺(tái)處理后,若返回的網(wǎng)頁(yè)不正常就會(huì)出現(xiàn)錯(cuò)誤提示,一般攻擊者都會(huì)從這些提示中得到有用的線(xiàn)索,為下一步的攻擊做準(zhǔn)備。如果采用錯(cuò)誤提示屏蔽機(jī)制的,攻擊者則不能獲取任何有用的信息。安全配置數(shù)據(jù)庫(kù)從本質(zhì)上看,注入攻擊的目標(biāo)是后臺(tái)數(shù)據(jù)庫(kù),因此保證它的安全非常有必要。西南交通大學(xué)碩士研究生學(xué)位論文 第頁(yè)常用措施有

47、以下幾點(diǎn):限定應(yīng)用以較低權(quán)限訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)如果應(yīng)用傳遞給數(shù)據(jù)庫(kù)的所有語(yǔ)句都得到執(zhí)行的話(huà),那么只要攻擊者控制了應(yīng)用提交的語(yǔ)句,就等于可以順利實(shí)施注入攻擊。顯然這樣的應(yīng)用有著巨大的安全風(fēng)險(xiǎn),就是因?yàn)閿?shù)據(jù)庫(kù)分配給它的權(quán)限過(guò)大。比如說(shuō)應(yīng)用使用某個(gè)內(nèi)置賬戶(hù)連接數(shù)據(jù)庫(kù),而內(nèi)置賬戶(hù)有著強(qiáng)大的功能,可以在數(shù)據(jù)庫(kù)上執(zhí)行很多與程序無(wú)關(guān)的操作。應(yīng)該分配給應(yīng)用適合程序需求的權(quán)限,然后數(shù)據(jù)庫(kù)執(zhí)行與這種權(quán)限相對(duì)應(yīng)的操作,避免執(zhí)行超出這種權(quán)限的無(wú)關(guān)操作。就注入而言,這種關(guān)鍵性防御可顯著降低注入風(fēng)險(xiǎn),它在一定程度上限制了攻擊者利用易受攻擊的應(yīng)用訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)并執(zhí)行未經(jīng)授權(quán)的操作。使用存儲(chǔ)過(guò)程存儲(chǔ)過(guò)程是一組可以完成特定功能的語(yǔ)句的集合

48、,但需要在編譯和優(yōu)化后才可存放在數(shù)據(jù)庫(kù)里。由于存儲(chǔ)過(guò)程執(zhí)行效率高,能夠減少網(wǎng)絡(luò)流量的優(yōu)點(diǎn),在應(yīng)用程序的開(kāi)發(fā)中得到廣泛的使用。用戶(hù)只需指定存儲(chǔ)過(guò)程名稱(chēng)和參數(shù)便可調(diào)用它,完成跟普通語(yǔ)句一樣的功能。因此可以把應(yīng)用程序涉及到的語(yǔ)句封裝到存儲(chǔ)過(guò)程中,并且只為它們賦予許可,禁止其它許可,如、等。加密敏感數(shù)據(jù)、保護(hù)數(shù)據(jù)庫(kù)中的敏感信息,不被非授權(quán)查看、更改,可以使用強(qiáng)大的加密技術(shù)它們進(jìn)行加密處理。這樣即使攻擊者竊取了敏感信息,但也沒(méi)辦法直接獲取其中的真實(shí)內(nèi)容,還需費(fèi)時(shí)費(fèi)力去破解。就數(shù)據(jù)本身而言,如果不需要存儲(chǔ),那么可以考慮用或一等哈希算法處理數(shù)據(jù)。使用哈希算法的優(yōu)勢(shì)在于它消除了與加密相關(guān)的密鑰管理問(wèn)題。如果必

49、須存儲(chǔ)敏感數(shù)據(jù),則可以考慮或三重算法處理數(shù)據(jù)。不過(guò)這樣會(huì)產(chǎn)生一個(gè)如何保存密鑰的問(wèn)題.能否把密鑰保存到一個(gè)攻擊者無(wú)法輕易訪(fǎng)河到的位置對(duì)應(yīng)用來(lái)說(shuō)是個(gè)很大的挑戰(zhàn)。眾所周知的是,永遠(yuǎn)別在客戶(hù)端存儲(chǔ)加密的密鑰,如果密鑰在運(yùn)行時(shí)提供,并存放于服務(wù)器的內(nèi)存中才會(huì)比較理想。然而在很多企業(yè)級(jí)應(yīng)用環(huán)境中,在運(yùn)行時(shí)產(chǎn)生密鑰通常很難實(shí)現(xiàn)或?qū)嵱?在服務(wù)器受保護(hù)的位置存放密鑰是個(gè)不錯(cuò)的解決方法,此時(shí)攻擊者需要同時(shí)關(guān)注應(yīng)用服務(wù)器和后臺(tái)數(shù)據(jù)庫(kù)才能解密它,這樣無(wú)疑會(huì)加大破解的難度。.現(xiàn)有防范措施存在的不足以上介紹的針對(duì)注入的防范方法,在一定程度上能夠有效阻止一般的注入攻擊,但也有其局限性,主要體現(xiàn)在以下幾個(gè)方面:使用參數(shù)化語(yǔ)句

50、,雖然能夠保證用戶(hù)的輸入數(shù)據(jù)在傳遞給數(shù)據(jù)庫(kù)之前是未經(jīng)修改的,但是如果數(shù)據(jù)庫(kù)存儲(chǔ)有惡意的代碼或者存儲(chǔ)過(guò)程使用動(dòng)態(tài)實(shí)現(xiàn),還西南交通大學(xué)碩士研究生學(xué)位論文 第頁(yè)是存在一定的風(fēng)險(xiǎn)。驗(yàn)證用戶(hù)輸入的合法性,通常使用白名單和黑名單方法。由于語(yǔ)法靈活多變,對(duì)于那些非法的特殊字符,由于存在很多變換的形式,因此要維護(hù)和更新白名單或黑名單也是一件很困難的事情。使用存儲(chǔ)過(guò)程,可以顯著提高數(shù)據(jù)庫(kù)的執(zhí)行效率,同時(shí)可以避免與程序無(wú)關(guān)的操作,但是存儲(chǔ)過(guò)程如果使用動(dòng)態(tài)實(shí)現(xiàn),那么只要獲取了存儲(chǔ)過(guò)程的執(zhí)行權(quán)限,就可以任意地執(zhí)行其中的語(yǔ)句。安全配置數(shù)據(jù)庫(kù),賦予應(yīng)用程序合理的權(quán)限,防止與程序本身無(wú)關(guān)的操作發(fā)生,雖然可以防范一部分攻擊,但前提是要保證應(yīng)用程序賬戶(hù)信息的安全。.一種改進(jìn)的注入防范框架語(yǔ)言的靈活性,決定了注入攻擊的多樣性,任何一種單一的防范措施都不可能完全有效地阻止注入攻擊的發(fā)生。因此本節(jié)提