《基于web服务器SQL漏洞入侵与防护》由会员分享,可在线阅读,更多相关《基于web服务器SQL漏洞入侵与防护(21页珍藏版)》请在金锄头文库上搜索。
1、 湖北大学本科毕业论文(设计)湖湖 北北 大大 学学本本 科科 毕毕 业业 论论 文文 (设(设 计)计)题题 目目 基于基于 webweb 服务器服务器 SQLSQL 漏洞入侵与防护漏洞入侵与防护 姓姓 名名 学学 号号 专业年级专业年级 指导教师指导教师 职职 称称 20132013 年年 0404 月月 2020 日日湖北大学本科毕业论文(设计)I目录目录1绪论 .11.1研究背景 .11.2研究现状和意义 .22web 服务器 SQL 漏洞入侵.22.1方法简单介绍 .22.2 搜寻网站 SQL 注入点. .32.3 验证漏洞后通过 SQL 入侵得到用户名和密码.52.4 开始破解.5
2、2.4.1 破解表名.52.4.2 破解列名.62.4.3 破解列名的长度 username .72.4.4 破解 username 的内容.82.4.5 用所得到的用户名和密码登陆.103 web 服务器 SQL 漏洞防护 .113.1 简单介绍 .113.2 对用户输入的数据进行过滤 .113.2.1 基础过滤与二次过滤.113.2.2 使用 SQL 通用防注入程序进行过滤.113.3 设置错误提示信息.123.4 使用专业的漏洞扫描工具.143.5 对重要数据进行加密.144 结论 .15参考文献.16湖北大学本科毕业论文(设计)II基于基于 webweb 服务器服务器 SQLSQL 漏
3、洞入侵与防护漏洞入侵与防护摘摘 要要由于互联网的普遍应用,Web应用平台早已渐渐发展成为互联网信息交互的中心,但是 跟随而来的是Web应用遭遇到日渐严重的安全威胁问题,怎样确保Web应用安全,现已变成 一个及其重要的探索课题。根据Web应用的入侵与传统web入侵比较,具有很多新特点,比 如利用常见的H1印协议携带恶意数据,使得传统的web层防火墙和入侵检测系统根本不能 辨别,所以得从应用层的角度出发进行安全防护。 本文首先探索了Web应用安全产生的原因和其目前面对的重要安全威胁,进而根据Web 应用平台提出了一个安全解决方案。进而更加深入的研究了SQL注入攻击这种影响非常严重 的Web应用入侵
4、以及防护技术,并且在纯理论研究的根基上对提出的安全防护机制进行了设 计与实现。 对于SQL注入攻击,本文探讨了它的入侵行为以及语句特点,采用正则表达式对入侵特 点进行了很完整的解释;而在研究SQL注入防护技术的基础上,本文主要在服务端过滤技术 设计的基础上解决了Web服务端SQL注入攻击过滤器。此过滤器在HTTP请求提交Web服务器系 统模块处理前,解析请求数据,及时拦截攻击入侵行为而且加以警告;根据采用基于攻击 特征的正则表达式描述解释过滤规则,减小了过滤机制的误报率和漏报率;而且在此期间 结合IP访问限制功能,可以防止入侵者进行穷举式SQL注入攻击。 之后的测试结果说明,本文设计实现的攻击
5、防御机制可以很好的防止SQL注入,而且对 服务器响应延迟和负载影响很小。关键词关键词 Web 应用安全, SQL 注入入侵 ,SQL 防护湖北大学本科毕业论文(设计)IIIBased on the web server SQL exploits and protectionAbstract With the widely spread of the Internet, web application platform has become the communication center of the InternetBut at the same time,the threats to th
6、e web application are very seriousHow to protect web applicationssecurity is very importantThe attacks to the web application,comparing with traditional network attacks,have many new features,such as using HTTP protocol to carry malicious data,which can not be detected by the firewall and intrusion
7、detection systemSo we must defense the attacks from the application layer In this paper we study the origin and common threat of web application security firstlyThen we research and implement a protect module to protect web sites from SQL injection. To defend SQL injection,we analyze the characteris
8、tic of SQL injection and construct the regular expression for these attacksThen we design a SQL injection attack filter module inside web server, which is based on the filter rules using regular expressionThis module can defend common SQL injections,which detects the attacks before the HTTP requests
9、 handled by the system modulesWith the IP limit mechanism,this module can protect web server from exhaustive attacks launched by hackers The test results show that the modules can prevent SQL injection effectively, with very little influence to the web application platform【Key words】:web application
10、 security, defense technology, SQL injection湖北大学本科毕业论文(设计)11.1.绪论绪论1.1 研究背景由于信息化建设的逐渐普及,企事业单位,不管是建设其自用的业务应用系统,还是 构建仅对外信息的发布平台,都不能没有Web应用技术。Web应用技术不单单给user供应一 个简便的交互平台,而且同时给信息server供应了一种搭建信息system的标准技术。但是 随着Web应用平台应用日渐广泛,对于Web应用程序的入侵也多了起来,web应用安全正遭遇 越来越严重的威胁和挑战 美国web安全server的CENZIC的分析报告表明,2008年web攻击入
11、侵事件有80是对Web 应用平台进行的,之后到2009年,这一入侵比例上升到了82。另外根据CNCERTCC研究 表明,2006年至2007年,中国内陆web恶意挂马事件增长了26倍,而被更改web数量增长 了15倍,2009年国内被更改web数量已经达到42万个,这种恶意攻击入侵严重地影响了 Web应用平台的日常运作。 现在对于Web应用层的入侵已经多达到上千上万种,其中最常见的攻击入侵有:以SQL 注入攻击为代表的各种注入攻击入侵、非法篡改网站页面、网页恶意挂马等等。各种web入 侵采用的漏洞攻击入侵方法不完全相同,甚至同样的攻击都可以运用各种各样的手段,从 而达到入侵者最终的目的。 以S
12、QL注入攻击为例,如果web应用producer写的代码根本未对user输入数据的合法性 进行判断,入侵者就可以编造恶意SQL语句,以便得到一些重要的数据,更有甚者,可以得 到server最高执行权限。与此同时,SQL注入攻击入侵可以采用HTTP协议中的GET方法、 POST方法以及Cookie数据等多种途径发起,入侵者就可以不间断的整合入侵参数来达到最 终目的。图11描述了目前较为典型的一种Web应用平台架构,客户端(一般称为Web浏览器)向 Web服务器send请求,Web服务器将请求再转发到应用逻辑服务器或者Web应用程序处理,其 中估计会涉及到与数据库服务器的交互。Web应用程序完成逻辑数据后,将响应内容返回给 客户端。为确保Web应用平台的安全,许多公司都在web边界上设置了防火墙或入侵检测系 统。但是防火墙和入侵检测系统仅仅只阻拦对网络层的入侵,而当入侵者采用Web应用程序 漏洞进行针对性入侵时候,防火墙和入侵检测系统
