sql注入漏洞安全检测..doc

SQL自动注入攻击工具框架的研究与实现 张建平（1） 李洪敏（1） 黄晓芳（2） 卢敏（1） （1）中国工程物理研究院总体工程研究所 （四川绵阳 919 信箱 428 分箱 621900） （2）西南科技大学计算机学院 摘 要： 针对SQL注入攻击极强的破坏性和隐蔽性及目前SQL注入攻击检测手段单一化，不能做网站全面自动分析的弱点，研究SQL注入攻击的关键技术，并在此基础之上，构建SQL注入的自动化检测及攻击利用框架。 关键词： SQL注入攻击；二阶SQL注入；自动检测 中图分类号：TP393 文献标识码：A The Research and Implement of A Framework to Detect SQL Injection Attack Automatically Zhanjianping1 Lihongmin1 Huangxiaofang2 Lumin1 (1.Institute of System Engineering, CAEP, Mianyang 621900,China； 2.Computer College, SWUST，Mianyang 621010,China） Abstract: Aiming at the extremely strong destructive and concealment from the SQL injection attack and the weakness of the exiguous detection means for its inability to comprehensively and automatically analyze the weakness of websites, this paper proposes a method to automatically detect the SQL injection attack based on studying on the key technology of SQL injection. Keywords: SQL Injection Attack, Second-order SQL Injection, Automatically detection 引言 随着Web应用的发展越来越成熟，应用的各项技术发展得也越来越复杂。它们涵盖了从外部动态展示和内部工作网到以WEB协议方式传递数据的多种应用（如文档管理系统等）。这些系统的实用性及其存储数据、处理内容的机密性和敏感性都很高。据OWASP[1]（开放式web应用程序安全项目）每隔三年更新一次的“十大安全隐患列表”，在近几次公布的总结Web应用程序最可能、最常见、最危险的十大安全隐患中，SQL注入攻击一直排列靠前。SQL注入攻击是一种非常有效且破坏性很大的渗透手段，通过利用数据库的外部接口把恶意代码插入到SQL语言中使数据库服务器解析并执行，以达到入侵目标数据库及至整个操作系统的目的。由于SQL注入是从正常的Web平台入口进行请求访问，和请求正常的Web页面没有什么区别，所以目前市面上除了专门的Web防御防火墙外，大部分防火墙都不会对这类SQL注入攻击进行监控和发出警报，若网站管理员没有经常查看IIS日志的经验和习惯，有可能被入侵很长一段时间后都没有任何发觉。因此，本文针对目前SQL注入攻击检测手段单一化，不能做网站全面自动分析的弱点，主要研究SQL注入攻击的关键技术，在此基础之上，构建SQL注入的自动化检测及攻击利用框架。 SQL注入攻击技术研究 为了防止SQL注入攻击，通常会在web应用的代码层中或通过第三方的外部实现，如Web应用防火墙（WAF）或入侵防御系统（IPS）中采用关键字过滤的方式，如select|delete|update|count|等；以及代码层级别的过滤器，使用的方法包括编码、消除敏感字符等等各种方法，用来过滤掉畸形的数据串。但是，目前对这种过滤机制也有相应的SQL注入攻击技术绕过该机制，常见方法有：大小写变换、使用编码的方式、构造畸形数据包的方式、使用空字节绕过过滤机制、构造超长数据包的方式等[2]。 常见的SQL注入在单个HTTP请求和响应中的流程如下所示： 攻击者HTTP请求中插入了精心构造的参数； 应用服务器处理输入的参数，参数经过了拼接导致SQL查询被执行； 应用服务器有可能会对攻击者请求的参数返回输出结果。 而二阶SQL注入攻击是另外一种高级攻击手法，该方法攻击过程如下所示： 攻击者HTTP请求中插入了精心构造的参数； 应用服务器存储该输入的参数准备处理； 攻击者进行第二次HTTP请求，同时插入了精心构造的参数； 应