以阶段分析为基础之SQL Injection防御系统.pptVIP

以階段分析為基礎之SQL Injection防禦系統 指導教授：鄭錦楸 報告人：魏宏吉 版權聲明:本報告僅使用在學校報告與練習之用，並無其他用途，若有侵權問題，煩請告知!! 大綱 1.研究目的 2.何謂SQL Injection攻擊 3.研究動機 4.研究方法 5.預計完成的工作項目 1.研究動機 隨著網際網路的蓬勃發展，網頁也越來越多 元化，現今網頁已與資料庫脫離不了關係。 根據OWASP的統計報告表示，2010年十大網 路風險排名，SQL Injection已經成為排行榜 上的第一名，這樣表示，網頁資料庫的安全性 越來越重要了。 資料來源:OWASP 攻擊者透過網頁應用程式所提供的輸入欄位來輸入攻擊字串來破壞原有的SQL語句結構，以及執行攻擊者輸入的指令，來達到對資料庫內容進行查詢、新增、修改、刪除，甚至破壞整個資料庫。 SQL攻擊者常用的SQL指令有： Select、Where、having、Group by、Like 2.何謂SQL Injection攻擊 2.1 SQL Injection攻擊原理 一般輸入帳號密碼的網站的SQL語法 select * from 會員 where 身分證 = request(uid) And 會員密碼 = request(pw) 如果正常使用者帳號 A123456789，密碼 12