發(fā)布時(shí)間：2020-11-23 17:01

　　 隨著互聯(lián)網(wǎng)的飛速發(fā)展,人們對(duì)Web技術(shù)的需求逐漸增多,相應(yīng)的,面臨的威脅也在不斷增加。針對(duì)網(wǎng)站進(jìn)行的攻擊成為網(wǎng)絡(luò)安全的一個(gè)熱點(diǎn)問題,其中SQL注入攻擊更是網(wǎng)絡(luò)安全一個(gè)重要的研究課題。SQL注入漏洞的危害極大,會(huì)對(duì)網(wǎng)站造成不可估量的損失。因此,研究分析SQL注入掃描工具具有重要的現(xiàn)實(shí)意義。本文在現(xiàn)有的SQL注入檢測(cè)技術(shù)學(xué)習(xí)研究的基礎(chǔ)上,詳細(xì)分析漏洞掃描工具的需求,設(shè)計(jì)并實(shí)現(xiàn)一款針對(duì)SQL注入漏洞的掃描工具。該工具在現(xiàn)有工具基礎(chǔ)上,對(duì)爬蟲模塊進(jìn)行改進(jìn),突破網(wǎng)站對(duì)爬蟲的限制,并對(duì)去重算法進(jìn)行改進(jìn),以提高爬蟲的運(yùn)行效率。同時(shí),實(shí)現(xiàn)對(duì)WAF規(guī)則的繞過,構(gòu)造優(yōu)化的測(cè)試載荷,以提高檢測(cè)工具的準(zhǔn)確率。本文的主要工作如下:(1)詳細(xì)論述了 SQL注入的基本原理及注入的流程,闡述了爬蟲的概念、相關(guān)策略以及URL去重的技術(shù)。介紹了國(guó)內(nèi)外對(duì)SQL注入檢測(cè)技術(shù)的研究進(jìn)展。(2)在研究現(xiàn)有爬蟲技術(shù)的基礎(chǔ)上,針對(duì)網(wǎng)站對(duì)爬蟲的限制,如登錄限制,反爬蟲機(jī)制等,對(duì)爬蟲進(jìn)行改進(jìn),增加爬蟲的模擬登錄和繞過功能,以突破網(wǎng)站對(duì)爬蟲的限制,使得爬蟲可以高效運(yùn)作。(3)改進(jìn)URL去重算法,并將算法運(yùn)用于網(wǎng)絡(luò)爬蟲中。通過分析現(xiàn)有URL去重算法存在的效率和準(zhǔn)確率低的問題,提出URL去重的優(yōu)化算法。在原有布隆過濾器算法的基礎(chǔ)上,本文提出的SVCBF去重算法對(duì)鏈接進(jìn)行壓縮,將處理過的URL通過哈希映射到可變長(zhǎng)度的位向量計(jì)數(shù)器中,以提高去重的準(zhǔn)確度和效率。(4)在檢測(cè)模塊中增加Web應(yīng)用防火墻的識(shí)別和繞過的技術(shù)。通過檢測(cè)網(wǎng)站的防火墻設(shè)置,識(shí)別過濾規(guī)則,從而構(gòu)造優(yōu)化的測(cè)試載荷,以繞過防火墻的過濾,提高檢測(cè)的準(zhǔn)確度。(5)設(shè)計(jì)實(shí)現(xiàn)基于改進(jìn)爬蟲的SQL注入自動(dòng)化掃描工具,包括工具的總體設(shè)計(jì)、主要功能模塊設(shè)計(jì)及各模塊的功能實(shí)現(xiàn),并對(duì)工具的各個(gè)模塊進(jìn)行了功能測(cè)試和性能測(cè)試,驗(yàn)證工具模塊的功能均已實(shí)現(xiàn)。
【學(xué)位單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位年份】：2018
【中圖分類】：TP393.08
【部分圖文】：

ＨＴＴＰ［１６］協(xié)議由ＨＴＴＰ請(qǐng)求和ＨＴＴＰ響應(yīng)組成。ＷＡＦ進(jìn)行防護(hù)時(shí)，通常會(huì)對(duì)??ＨＴＴＰ流量進(jìn)行攔截和檢測(cè)，檢測(cè)正常后再將其傳到后端Ｗｅｂ服務(wù)器進(jìn)行處理。??ＨＴＴＰ交互過程如圖２－１所示：??Ａ?＿??■Ｉ??ＬＳ??客戶端?月ｓ務(wù)器??服務(wù)器監(jiān)聽ＴＣＰ端口８０，等待客戶端??＾?發(fā)出連接請(qǐng)求???發(fā)送連接請(qǐng)求???？??建立ＴＣＰ連接??＜???發(fā)送頁(yè)面請(qǐng)求（ＨＴＴＰ請(qǐng)求報(bào)文）???？??返回頁(yè)面請(qǐng)求的響應(yīng)（ＨＴＴＰ響應(yīng)報(bào)文）??？???釋放ＴＣＰ連接???？??圖２－〗ＨＴＴＰ工作流程??（１）當(dāng)客戶端向服務(wù)端發(fā)送請(qǐng)求時(shí)，客戶端向服務(wù)端發(fā)送了一個(gè)數(shù)據(jù)包，??８??

回輔丨換行符Ｉ??請(qǐng)求正文??圖２－２?ＨＴＴＰ請(qǐng)求報(bào)文組成??＊請(qǐng)求行：主要用于聲明主機(jī)的資源、請(qǐng)求路徑以及協(xié)議的版本；??＊請(qǐng)求頭部：說明客戶端、服務(wù)器或者請(qǐng)求報(bào)文的一些信息；??＊請(qǐng)求正文：主要用于放置報(bào)文數(shù)據(jù)的相關(guān)信息。??（２）?ＨＴＴＰ的響應(yīng)和請(qǐng)求類似，它的響應(yīng)主要包含以下幾個(gè)部分，主要是：??｜協(xié)議版本丨空格狀態(tài)碼」空格｜狀態(tài)碼描述丨ｆ＂丨料？丨換行符｜狀態(tài)行??轉(zhuǎn)！參鋼：回：換行符］??？?．?．?＿?＿?＿?卜響應(yīng)頭部??｜．頭謂字Ｋｇ＇?｜：?｜?－ａ?－ｆ回車符｜換行符」??論＿換行符｜??１響應(yīng)正文??圖２－３?ＨＴＴＰ響應(yīng)報(bào)文組成??？狀態(tài)行：主要包括協(xié)議版本，一般的協(xié)議的版本是１．０、Ｕ、２．０；狀態(tài)??碼主要是分成５大類，每一類的具體含義如表２－１所示：??表２－１狀態(tài)碼??類別含義???ｌｘｘ?對(duì)信息的通知，表示請(qǐng)求己收到或者正在處理??２ｘｘ?表示ｏｋ，請(qǐng)求成功??３ｘｘ?含義是重定向，要想完成完整請(qǐng)求還要繼續(xù)進(jìn)行??４ｘｘ?請(qǐng)求中可能出現(xiàn)語(yǔ)法的錯(cuò)誤???５ｘｘ?｜服務(wù)器無法完成的請(qǐng)求???＊響應(yīng)頭：主要用來說明客戶端或者服務(wù)器的一些信息；??＊響應(yīng)體：主要是包含請(qǐng)求返回的數(shù)據(jù)信息。??２．２?ＳＱＬ注入技術(shù)概述??ＳＱＬ?（Ｓｔｒｕｃｔｕｒｅｄ?Ｑｕｅｒｙ?Ｌａｎｇｕａｇｅ），是結(jié)構(gòu)化查詢語(yǔ)言［１７］，開發(fā)人員可以使??用ＳＱＬ語(yǔ)言與數(shù)據(jù)庫(kù)通信

?卜響應(yīng)頭部??｜．頭謂字Ｋｇ＇?｜：?｜?－ａ?－ｆ回車符｜換行符」??論＿換行符｜??１響應(yīng)正文??圖２－３?ＨＴＴＰ響應(yīng)報(bào)文組成??？狀態(tài)行：主要包括協(xié)議版本，一般的協(xié)議的版本是１．０、Ｕ、２．０；狀態(tài)??碼主要是分成５大類，每一類的具體含義如表２－１所示：??表２－１狀態(tài)碼??類別含義???ｌｘｘ?對(duì)信息的通知，表示請(qǐng)求己收到或者正在處理??２ｘｘ?表示ｏｋ，請(qǐng)求成功??３ｘｘ?含義是重定向，要想完成完整請(qǐng)求還要繼續(xù)進(jìn)行??４ｘｘ?請(qǐng)求中可能出現(xiàn)語(yǔ)法的錯(cuò)誤???５ｘｘ?｜服務(wù)器無法完成的請(qǐng)求???＊響應(yīng)頭：主要用來說明客戶端或者服務(wù)器的一些信息；??＊響應(yīng)體：主要是包含請(qǐng)求返回的數(shù)據(jù)信息。??２．２?ＳＱＬ注入技術(shù)概述??ＳＱＬ?（Ｓｔｒｕｃｔｕｒｅｄ?Ｑｕｅｒｙ?Ｌａｎｇｕａｇｅ），是結(jié)構(gòu)化查詢語(yǔ)言［１７］，開發(fā)人員可以使??用ＳＱＬ語(yǔ)言與數(shù)據(jù)庫(kù)通信
【相似文獻(xiàn)】

相關(guān)期刊論文 前20條

1 茹蓓;;SQL查詢語(yǔ)句的優(yōu)化[J];新鄉(xiāng)教育學(xué)院學(xué)報(bào);2006年04期

2 郭小雷;王宗彥;吳淑芳;侯聰亞;樊恒;;基于SQL的橋式起重機(jī)智能設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)開發(fā)[J];機(jī)械設(shè)計(jì)與研究;2017年01期

3 于思江;邱思晨;王小兵;;基于存儲(chǔ)過程的SQL自動(dòng)評(píng)判系統(tǒng)[J];電子設(shè)計(jì)工程;2017年11期

4 趙光亮;舒小松;;Navicat for MySQL平臺(tái)中的SQL語(yǔ)言分析與應(yīng)用[J];無線互聯(lián)科技;2017年19期

5 劉瑄;孫捷;;基于C#與SQL的銷售管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];電腦知識(shí)與技術(shù);2016年05期

6 趙志明;崔歡喜;唐驁棋;;本科數(shù)據(jù)庫(kù)課程中SQL教學(xué)建議[J];學(xué)周刊;2015年12期

7 祁星;孫琳;周治宇;;淺析我院數(shù)據(jù)庫(kù)系統(tǒng)中SQL語(yǔ)句優(yōu)化[J];數(shù)碼世界;2017年05期

8 田會(huì);;優(yōu)化SQL語(yǔ)句提高數(shù)據(jù)庫(kù)系統(tǒng)效率[J];硅谷;2014年08期

9 黃錦祝;;ASP.NET與SQL聯(lián)合在機(jī)械零部件銷售系統(tǒng)設(shè)計(jì)當(dāng)中的應(yīng)用[J];制造業(yè)自動(dòng)化;2012年10期

10 蔣丹丹;牛曉楠;;基于SQL的宿舍學(xué)生成績(jī)管理系統(tǒng)設(shè)計(jì)與開發(fā)[J];企業(yè)技術(shù)開發(fā);2012年20期

11 吳貴山;;SQL注入攻擊防御策略的研究[J];計(jì)算機(jī)與網(wǎng)絡(luò);2012年09期

12 趙慧玲;毛應(yīng)爽;孟憲穎;;基于SQL游標(biāo)的研究與應(yīng)用[J];科技創(chuàng)新導(dǎo)報(bào);2012年28期

13 李瑩;衛(wèi)鳳林;;數(shù)據(jù)庫(kù)語(yǔ)言SQL標(biāo)準(zhǔn)演變分析[J];信息技術(shù)與標(biāo)準(zhǔn)化;2011年09期

14 錢哨;;用SQL實(shí)現(xiàn)關(guān)系代數(shù)中近似除與關(guān)系整除方法的研究[J];計(jì)算機(jī)與現(xiàn)代化;2010年04期

15 李國(guó)雁;田源;;關(guān)系代數(shù)中除運(yùn)算的SQL語(yǔ)句實(shí)現(xiàn)[J];現(xiàn)代計(jì)算機(jī)(專業(yè)版);2010年14期

16 蔡鼎梁;;淺談SQL語(yǔ)句解決數(shù)據(jù)轉(zhuǎn)移[J];福建電腦;2009年12期

17 葛萌;;SQL查詢語(yǔ)言在學(xué)校審計(jì)中的運(yùn)用[J];中國(guó)教育信息化;2008年20期

18 王平勤;董付國(guó);周翔鳳;;SQL外連接查詢?cè)谙到y(tǒng)開發(fā)中的應(yīng)用[J];電腦開發(fā)與應(yīng)用;2008年03期

19 趙翔;;ASP.NET中使用SQL的存儲(chǔ)過程[J];內(nèi)蒙古科技與經(jīng)濟(jì);2008年08期

20 沈海峰;;SQL與網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全[J];淮北職業(yè)技術(shù)學(xué)院學(xué)報(bào);2007年03期

相關(guān)博士學(xué)位論文 前2條

1 田偉;模型驅(qū)動(dòng)的web應(yīng)用SQL注入安全漏洞滲透測(cè)試研究[D];南開大學(xué);2012年

2 鄧立國(guó);模糊時(shí)態(tài)數(shù)據(jù)庫(kù)建模若干關(guān)鍵技術(shù)研究[D];東北大學(xué);2011年

相關(guān)碩士學(xué)位論文 前10條

1 賈瀟雨;基于改進(jìn)爬蟲技術(shù)的SQL注入的自動(dòng)化掃描工具的研究與設(shè)計(jì)[D];北京郵電大學(xué);2018年

2 李鑫;動(dòng)靜結(jié)合的二階SQL注入漏洞檢測(cè)技術(shù)研究[D];華僑大學(xué);2017年

3 楊小麗;防SQL注入攻擊中間件的設(shè)計(jì)與實(shí)現(xiàn)[D];四川師范大學(xué);2010年

4 王洪海;錄井?dāng)?shù)據(jù)訪問層中SQL注入檢測(cè)技術(shù)的研究[D];大連海事大學(xué);2011年

5 楊劍光;基于C#和SQL的企業(yè)人事管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];西安電子科技大學(xué);2013年

6 任凱鋒;緩沖區(qū)溢出和SQL注入的滲透測(cè)試[D];太原理工大學(xué);2006年

7 張欽;自動(dòng)生成SQL測(cè)試用例集的研究與實(shí)現(xiàn)[D];東華大學(xué);2012年

8 鄒輝;數(shù)據(jù)庫(kù)引擎SQL編譯器的研究[D];武漢理工大學(xué);2010年

9 徐愛華;大唐電信“話務(wù)統(tǒng)計(jì)子系統(tǒng)”中內(nèi)存數(shù)據(jù)庫(kù)SQL解析器的設(shè)計(jì)與實(shí)現(xiàn)[D];西安電子科技大學(xué);2006年

10 呂海熊;SQL語(yǔ)言到自然語(yǔ)言自動(dòng)翻譯的研究[D];北京理工大學(xué);2016年

本文編號(hào)：2894773