基于代理模式的SQL注入漏洞检测技术研究-信息网络安全.PDFVIP

2014 11 技 术 研 究 年第 期 ： doi 10.3969/j.issn.1671-1122.2014.11.011 基于代理模式的 SQL 注入漏洞检测 技术研究 韦存堂，赵晶玲，崔宝江 （北京邮电大学计算机学院，北京 100876） 摘　要 ：SQL注入（SQL injection）漏洞是网站中普遍存在的漏洞之一，同时也是影响企业 运营且最具破坏性的漏洞之一。SQL注入漏洞的检测模式可分为手工分析和自动化工具扫描分 析两种方式。虽然有很多自动化工具可以帮助我们快速检测SQL注入漏洞，但工具检测能力十 分有限，就目前而言，扫描工具的最大瓶颈在于如何确保爬虫所得待测数据的全面性。由于爬 虫技术的限制，大部分扫描工具的误报和漏报概率都比较大。人工分析虽然可以保证漏洞检测 的准确度，但检测过程需要消耗大量时间且效率比较低下。针对此种情况，文章提出一种基于 代理模式的SQL注入漏洞检测方法，该方法在兼顾准确率和效率的基础之上，综合利用已有漏 洞检测工具的优点，实现快速全面收集待测数据，以此确保SQL注入漏洞检测的高效性和准确性。 另外，文章还利用该方法对Web应用中的XSS漏洞进行了检测分析，并取得了非常好的效果。 关键词 ：SQL注入；漏洞检测；代理模式 中图分类号 ：TP309 文献标识码 ： A 文章编号 ：1671-1122（2014）11-0066-04 中文引用格式 ：韦存堂，赵晶玲，崔宝江 . 基于代理模式的 SQL 注入漏洞检测技术研究 [J]. 信息网络安 全，2014, （11）：66-69. 英文引用格式 ：WEI C T, ZHAO J L, CUI B J. Research on SQL Injection Vulnerabilities Detection Technology Based on Proxy Mode[J]. Netinfo Security, 2014, (11):66-69. Research on SQL Injection Vulnerabilities Detection Technology Based on Proxy Mode WEI Cun-tang, ZHAO Jing-ling, CUI Bao-jiang (School of Computer Science, Beijing University of Posts and Telecommunications, Beijing 100876, China) Abstract: SQL injection vulnerability is one of the most common vulnerabilities in the Web site; also its one of the most destructive loopholes during business operations. SQL injection vulnerability detection mode can be divided into manual and automated analysis. Although there are