畢業(yè)設(shè)計(jì)(論文)開題報(bào)告-Web環(huán)境下SQL注入攻擊與防御的研究

畢業(yè)設(shè)計(jì)（論文）開題報(bào)告-Web環(huán)境下SQL注入攻擊與防御的研究貴州民族學(xué)院計(jì)算機(jī)與信息工程學(xué)院2008級畢業(yè)論文(設(shè)計(jì))任務(wù)書學(xué)生姓名:周波專業(yè):計(jì)算機(jī)科學(xué)與技術(shù)指導(dǎo)教:龔琪畢業(yè)論文(設(shè)計(jì))題目:Web環(huán)境下SQL注入攻擊與防御研究畢業(yè)論文(設(shè)計(jì))工作內(nèi)容:研究Web環(huán)境下SQL注入的起因，發(fā)展過程、SQL注入風(fēng)險、和防御體系應(yīng)該注意的技術(shù)和方法，從程序員、管理員、攻擊者角度來研究SQL注入和防御。其它們在Web應(yīng)用安全的重要性。,指導(dǎo)教師:龔琪(簽名)2012年3月15日,教研室主任:(簽名)年月日,學(xué)院院長:(簽名)年月日貴州民族學(xué)院本科畢業(yè)論文(設(shè)計(jì))開題報(bào)告論文題目__Web環(huán)境下SQL注入攻擊與防御研究系別:計(jì)算機(jī)與信息工程學(xué)院專業(yè):計(jì)算機(jī)科學(xué)與技術(shù)班級:2008級姓名:周波學(xué)號:200810020042指導(dǎo)教師:龔琪填表日期:2012年3月8日二0一0年03月2說明1、畢業(yè)設(shè)計(jì)的開題報(bào)告是保證畢業(yè)設(shè)計(jì)質(zhì)量的一個重要環(huán)節(jié)，為規(guī)范畢業(yè)設(shè)計(jì)的開題報(bào)告，特印發(fā)此表。2、學(xué)生應(yīng)在開題報(bào)告前，通過調(diào)研和資料搜集，主動與指導(dǎo)教師討論，在指導(dǎo)教師的指導(dǎo)下，完成開題報(bào)告。3、此表一式二份，交學(xué)院裝入畢業(yè)設(shè)計(jì)(論文)檔案袋。4、開題報(bào)告需經(jīng)指導(dǎo)教師、院(系)領(lǐng)導(dǎo)審查合格后，方可正式進(jìn)入下一步畢業(yè)設(shè)計(jì)(論文)階段。5、理工類不得少于10篇，其他專業(yè)類不少于15篇相關(guān)文章的閱讀量。6、開題報(bào)告撰寫不少于1000字。3研究的現(xiàn)狀:國內(nèi)對SQL注入攻擊研究主要包括SQL注入攻擊的原理和SQ注入攻擊的關(guān)鍵技術(shù)。國內(nèi)對SQL注入的檢測與防范的研究主要集中于以下幾個方面:1.提出各種各樣的防范模型，如在客服端和服務(wù)器端進(jìn)行檢測的SQL注入攻擊檢測、防御、備案模型。2.在服務(wù)器端正式處理之前對提交數(shù)據(jù)進(jìn)行合法性檢查。3.屏蔽出錯信息，這樣攻擊者就不能從錯誤中獲取關(guān)于數(shù)據(jù)庫的信息。4.對Web服務(wù)器進(jìn)行安全設(shè)置，如去掉Web服務(wù)器上默認(rèn)的一些危險命令。5.不用字符串連接建立SQL查詢，用存儲過程編寫代碼減少攻擊。6.對包含敏感信息的數(shù)據(jù)加密，如在數(shù)據(jù)庫中對加密密碼存儲等。國內(nèi)對SQL注入漏洞檢測的研究還很少，大多數(shù)還停留在攻擊工具的層面上，很少將注入工具用于網(wǎng)站安全檢測。國外學(xué)者對SQL注入檢測與防范領(lǐng)域一般分為兩大類。1.漏洞識別(漏洞檢測):這類防范主要研究識別應(yīng)用程序中能導(dǎo)致SQL注入攻擊的漏洞位置。2.攻擊防御:這類方法可以進(jìn)一步分為編碼機(jī)制和防御機(jī)制。編碼機(jī)制是一種很好實(shí)踐的防范方法。SQL注入攻擊產(chǎn)生的根本原因在于沒有足夠的驗(yàn)證機(jī)制，因而從編碼方面防范攻擊有很好的理論基礎(chǔ)防御機(jī)制包括:黑盒測試法、靜態(tài)代碼檢測器、結(jié)合靜態(tài)和動態(tài)的分析方法、新查詢開發(fā)范例、入侵檢測系統(tǒng)、代理過濾、指令集隨機(jī)化方法、動態(tài)檢測方法等。4研究目的和意義:SQL注入攻擊存在于大多數(shù)訪問了數(shù)據(jù)庫且?guī)в袇?shù)的動態(tài)網(wǎng)頁中，SQL注入攻擊相當(dāng)隱秘，表面上看與正常的Web訪問沒有區(qū)別，不易被發(fā)現(xiàn)，但是SQL注入攻擊潛在的發(fā)生概率相對于其他Web攻擊要高得多，危害面也更廣。其主要危害包括:獲取系統(tǒng)控制權(quán)、未經(jīng)授權(quán)狀態(tài)下操作數(shù)據(jù)庫的數(shù)據(jù)、惡意篡改網(wǎng)頁內(nèi)容、私自添加賬號或數(shù)據(jù)庫使用者賬號等?，F(xiàn)在流行的數(shù)據(jù)庫管理系統(tǒng)都有一些工具盒功能組件，可以直接與操作系統(tǒng)及網(wǎng)絡(luò)進(jìn)行連接。當(dāng)攻擊者通過SQL注入攻擊一個數(shù)據(jù)庫系統(tǒng)，去危害就不只局限于存儲在數(shù)據(jù)庫中數(shù)據(jù)，攻擊者還可以設(shè)法獲得對DBMS所有的主機(jī)進(jìn)行交互式訪問，使其危害從數(shù)據(jù)庫向操作系統(tǒng)、甚至整個網(wǎng)絡(luò)蔓延。因此，我不僅應(yīng)當(dāng)將SQL注入攻擊看作是一個對存儲在數(shù)據(jù)庫上數(shù)據(jù)的威脅，而應(yīng)當(dāng)看作是對整個網(wǎng)絡(luò)的威脅。5研究內(nèi)容(內(nèi)容、結(jié)構(gòu)框架以及重點(diǎn)、難點(diǎn)):研究內(nèi)容:1完成了對Web壞境的相關(guān)技術(shù)和理論研究2給出了SQL注入攻擊的防御策略及方法結(jié)構(gòu)框架:第一章:緒論，給出了論文選題背景及選題意義，介紹了課題研究背景、研究意義，國內(nèi)外研究現(xiàn)狀，并對該論文的結(jié)構(gòu)作簡要說明。第二章:Web工作原理與SQL數(shù)據(jù)庫。介紹了Web工作原理、通信方式與應(yīng)用架構(gòu)，SQL查詢語言的簡單介紹及SQL注入的定義、特征、危害、攻擊的成因，為理解SQL注入的生成過程提供一些背景知識第三章:SQL注入攻擊測試。SQL注入的定義、特征、危害、攻擊的成因，為理解SQL注入的生成過程提供一些背景知識第四章:SQL注入的實(shí)現(xiàn)。根據(jù)SQL注入攻擊的步驟說明了一般的攻擊技巧，并給出案例分析。第五章:SQL注入攻擊防御。針對SQL注入攻擊提出防御策略。重點(diǎn):理解Web工作原理，SQL注入成因、原理及常用攻擊技術(shù)和一般防御策略。難點(diǎn):SQL注入攻擊的隱蔽性較強(qiáng)，防御體系難以對SQL各種攻擊提供良好的防御。6研究方法、手段:1、借鑒法:利用現(xiàn)有的書籍、代碼和文獻(xiàn)，對Web環(huán)境下SQL注入攻擊和防御有一個認(rèn)知，;簡化研究過程，抓住重點(diǎn)和難點(diǎn)，做到有的放矢;2、舉例法:列舉各種SQL注入攻擊的一般性例子，以說明各種攻擊的特性，以及在構(gòu)建Web應(yīng)用時防御策略提供方法。3、對比法:對各種SQL注入攻擊和防御之間特。性進(jìn)行比較4、實(shí)驗(yàn)法:對攻擊過程進(jìn)行系統(tǒng)模擬。5、歸納法:通過對各種攻擊和防御驗(yàn)的證，總結(jié)出現(xiàn)在SQL注入攻擊和防御的變化方向和應(yīng)用價值;研究進(jìn)度:2011年12月8日——12月15日確定選題、收集相關(guān)資料2011年12月16日——12月30日收集資料，開展研究，形成寫作提綱2012年1月25日——3月16日撰寫開題報(bào)告與開題2012年3月17日——5月10日深入研究，形成論文初稿2012年5月11日——6月10日論文修改、定稿、打印、答辯7主要參考文獻(xiàn):[1]SQL注入攻擊與防御(美)克拉克(Clarke,J)等著黃曉磊李化譯清華大學(xué)出版社[2]計(jì)算機(jī)網(wǎng)絡(luò)工程[5]謝希仁著電子工業(yè)出版社[3]Web程序設(shè)計(jì)[5](美)Robert.Sebesta著徐燕華孫紅利譯清華大學(xué)出版社[5]SQLServer2008實(shí)戰(zhàn)(美)JosephSack著金迎春譯人們郵電出版社[6]web安全測試(美)霍普等著傅鑫等譯[7]Web入侵安全測試與對策(美)安德魯清華大學(xué)出版社[8]黑客攻防技術(shù)寶典:Web實(shí)戰(zhàn)篇(英)DafyddStuttardMarcusPinto人民郵電出版社[9]數(shù)據(jù)庫應(yīng)用系統(tǒng)開發(fā)實(shí)例曹洪根，丁勇主編清華大學(xué)出版社[10]數(shù)據(jù)庫系統(tǒng)概論薩師煊，王珊高等教育出版社[11]ASP.NET項(xiàng)目開發(fā)指南丁士鋒蔡平清華大學(xué)出版社指導(dǎo)教師意見:簽字:年月日系審查意見:簽字:年月日備注:8畢業(yè)論文(設(shè)計(jì))指導(dǎo)教師意見表系別:計(jì)信學(xué)院專業(yè):計(jì)算機(jī)科學(xué)與技術(shù)年級:2008級學(xué)生姓名周波指導(dǎo)教師龔琪職稱副教授論文題目:Web環(huán)境下SQL注入攻擊與防御研究指導(dǎo)過程記錄2011.11.30與學(xué)生交流論文所涉及的知識范疇及論文框架，布置學(xué)生查資料，以確定是否選擇該論文。2011.12.7確定學(xué)生及論文題，并講解論文格式要求及內(nèi)容架構(gòu)。給出論文范式，要求學(xué)生認(rèn)真研究，按規(guī)范準(zhǔn)備論文。2011.12.21討論開題報(bào)告的相關(guān)內(nèi)容。2011.12.28與學(xué)生討論論文涉及的知識及查找資料問題。2012.1.5布置假期工作及討論開題報(bào)告的內(nèi)容。2012.3.5討論開題報(bào)告的內(nèi)容及修改意見。2012.3.12開題報(bào)告定稿。2012.3.19討論論文。2012.326討論論文。2012.4.9布置論文修改工作。2012.4.16進(jìn)一步討論論文。9評語:評分:簽字:年月日備注:10畢業(yè)論文(設(shè)計(jì))評閱教師意見表系別:計(jì)信學(xué)院專業(yè):計(jì)算機(jī)科學(xué)與技術(shù)年級:2008學(xué)生姓名周波評閱教師職稱論文題目:Web環(huán)境下SQL注入攻擊與防御研究評語:評分:簽字:年月日備注:11貴州民族學(xué)院系別:計(jì)算機(jī)與信息工程學(xué)院年級:2008級畢業(yè)論文(設(shè)計(jì))答辯記錄表論文