基于渗透测试的SQL注入漏洞检测与防范

【摘要】随着Internet的进一步普及和计算机网络技术的快速发展,Web技术得到了广泛的应用。基于Web技术和数据库架构的应用系统已经逐渐成为主流,广泛应用于企业内部和外部的业务系统中。然而,随之而来的则是Web应用系统面临的安全风险与日剧增。Web安全渗透测试技术是一种针对Web应用的积极防范技术。该技术在应用遭受攻击前,模拟黑客攻击Web应用的方式对目标系统进行探测。而在众多Web应用攻击手段中,SQL注入攻击是最常用的也是最易于实施的方法。因此,做好针对SQL注入攻击的入侵检测和防范工作以保证整个信息基础设施的安全,是Web应用系统得以安全应用的关键,同时也是网络安全方面所研究的重要课题。基于以上原因,本文有针对性地研究了SQL注入漏洞的相关防范技术和检测工具,并通过实验比较了典型工具的检测情况,总结了常见检测工具使用的检测字符,最后对现有的SQL注入漏洞检测字符进行一定的改进和汇总。同时,本文利用SQL注入攻击使用的常见字符,在自动化测试工具Selenium的基础上,提出了SQL注入漏洞的自动化检测技术,通过实验证明,利用该技术编写的测试用例可以在一定程度上识别出SQL注入攻击,对Web应用系统中可能出现的未知SQL注入点有一定的识别效果。这为研究SQL注入漏洞的自动化测试提供了一定的思考方向和参考价值。
【作者】隋亮；
【导师】宋晖；刘振宇；
【作者基本信息】东华大学，软件工程（专业学位），2014，硕士
【关键词】Web安全；渗透测试；SQL注入；检测字符；自动化测试；

【参考文献】
[1]刘玉青.跨国公司与本土企业创新互动过程实现条件研究[D].杭州电子科技大学,企业管理,2013,硕士.
[2]王铁力.多泥沙河流泵站前池流态数值模拟及防淤措施研究[D].扬州大学,水利水电工程,2012,硕士.
[3]陈一.ATHK1和GPA1基因在PEG诱导脯氨酸和脱落酸合成中的作用及光的影响[D].扬州大学,生物化学与分子生物学,2012,硕士.
[4]刘博.薄煤层液压支架电液控制系统研制[D].郑州大学,机械电子工程,2013,硕士.
[5]计萌.国防支出与其它公共支出关系[D].云南财经大学,国防经济,2014,硕士.
[6]江星玲.用户激励视角下教育信息资源利用率提升研究[D].华中师范大学,教育技术学,2014,硕士.
[7]孟智慧.世界文学格局中的中国抗日战争小说[D].西南师范大学,比较文学与世界文学,2004,硕士.
[8]曲心慧.3D技术对未来新媒体广告艺术性的影响研究[D].吉林大学,新闻与传播（专业学位）,2014,硕士.
[9]申屠胜男,陈莹,左强,阮健.新型双向比例电磁铁的仿真研究[J].流体传动与控制,2014,01:19-22.
[10]李亮.两种姿势进行蹲跳和起动的肌电比较研究[D].宁波大学,体育教育训练学,2013,硕士.
[11]陈金燕.三七和栀子有效成分对甲醛损伤神经细胞的保护作用及其机制[D].北京中医药大学,微生物与生化药学,2013,硕士.
[12]叶竹花.基于校园网的网络智能教学平台的研究与设计[D].福州大学,计算机应用技术,2004,硕士.
[13]张连兴.虚拟建筑漫游系统的研究[D].中国地质大学（北京）,计算机技术,2014,硕士.
[14]王雅男.人民币升值对我国国际工程承包影响分析[D].天津财经大学,世界经济,2012,硕士.
[15]杨熙.网络对大学生思想政治教育的影响及对策研究[D].长春工业大学,思想政治教育,2013,硕士.
[16]赵倩.画家个性演绎下的绘画创作[D].河北师范大学,美术,2014,硕士.
[17]赵蓓蓓.树脂基固态胺吸附剂对低浓度二氧化碳的室温吸附行为研究[D].华东理工大学,材料化学工程,2014,硕士.
[18]刘佳,殷立峰,代云容,江帆,牛军峰.电化学酶传感器在环境污染监测中的应用[J].化学进展,2012,01:131-143.
[19]王荣.地方政府食品安全管制研究[D].湖北工业大学,政治学理论,2014,硕士.
[20]颜凤.Nox4型NADPH氧化酶在TGF-β调节内皮细胞凋亡和表型分化中的作用及机制[D].山东大学,内科学（专业学位）,2014,博士.
[21]张宽翔.纳米二氧化钛亲水性及纳米银二氧化钛复合膜光催化性能研究[D].合肥工业大学,流体机械及工程,2013,硕士.
[22]苏再军.高强Mg-Y-Nd-Zn-Zr系铸造镁合金组织与性能研究[D].中南大学,材料科学与工程,2013,博士.
[23]任丽娜.驱动轴力矩估计器的设计[D].吉林大学,车辆工程,2014,硕士.
[24]周小聪.基于Petri网的自适应工作流模型的研究与应用[D].湖南大学,软件工程,2011,硕士.
[25]王晓艳.论我国被害人承诺的现状与立法完善[D].华中科技大学,经济法学,2013,硕士.
[26]祝晓庆.山东省高等教育发展与人口变动的协调性研究[D].山东财经大学,教育经济与管理,2013,硕士.
[27]郭红宇.高炉过程控制计算机的体系结构[J].冶金自动化,2000,02:27-29.
[28]陈浩勋,李人厚.关于最小分散镇定结构的研究[J].自动化学报,1990,01:76-79.
[29]张彧也.基于无线网络的流媒体传输拥塞控制的研究[D].重庆大学,计算机系统结构,2014,硕士.
[30]赵莉.医生及患者对慢性鼻—鼻窦炎主、客观评价的相关性分析[D].山东大学,耳鼻咽喉科学,2013,硕士.
[31]张美.棉用反应型阻燃剂的合成及应用研究[D].中北大学,高分子化学与物理,2013,硕士.
[32]马骏壹.地缘因素影响下的伊朗核问题研究[D].西南大学,人文地理学,2013,硕士.
[33]陈殷明.大型疏浚船舶项目论证及其方法研究[D].上海海事大学,2003.
[34]程丰,李衍达,常迵.L_1预测反褶积及其在地震勘探中的应用[J].石油地球物理勘探,1988,01:21-33+130.
[35]刘松梅,李文平.机车信号机电结合部典型故障分析[J].铁道通信信号.2007(11)
[36]胡溶冰.同声传译中的预测策略[D].上海外国语大学,英语语言文学,2012,硕士.
[37]李刚,孔凡志,王慧强,周浩东,王扬渝.多硬度拼接淬硬Cr12MoV铣削力的有限元分析[J].机械设计与研究,2014,05:131-135.
[38]田灵江.打造康居品牌引领开发理念——无锡新世纪花园建设侧记[J].城市开发.2003(06)
[39]贺迎坤.血管腔内再通术在非急性期颅内椎基底动脉闭塞中的应用研究[D].郑州大学,影像医学与核医学,2013,硕士.
[40]尹华川,鄢萍,刘飞,王东亚,陈锋.重庆市中小企业数字化管理现状分析与发展对策[J].中国制造业信息化,2005,12:4-8.
[41]刘海霞.中国古代城市笔记研究[D].上海师范大学,中国古代文学,2014,博士.
[42]韦光辉.徐淮山羊Sox2、c-Myc和Oct4基因启动子功能的初步研究[D].扬州大学,动物发育生物学,2014,博士.
[43]邓晶.基于滑模观测器的无刷直流电机无位置传感器控制[D].华中科技大学,控制理论与控制工程,2013,硕士.
[44]吴晓佳.《生经》动词核心词研究[D].华中师范大学,汉语言文字学,2014,硕士.
[45]张秀丽.海拔高度对人参皂苷积累规律的研究[D].吉林农业大学,中药学,2012,硕士.
[46]格根塔娜.初中蒙语文教学中传统教学和自由教学方法的比较研究[D].内蒙古师范大学,学科教学（专业学位）,2012,硕士.
[47]肖志远.浮动式森林消防泵的研究[D].北京林业大学,机械设计及理论,2013,硕士.
[48]胡皓南.冲击波超压智能测试系统的研究[D].中北大学,测试计量技术及仪器,2013,硕士.
[49]张莹.酵母底盘细胞中7-脱氢胆甾醇的模块化设计与合成[D].天津大学,制药工程,2013,硕士.
[50]韩福东.碳基锂离子电池负极材料的制备及其性能研究[D].山东大学,2012.