基于静态分析和动态执行的二阶SQL注入漏洞安全分析方法研究

来源 :燕山大学 | 被引量 : 0次 | 上传用户:liuweieasy
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着Web程序的广泛应用,SQL注入漏洞严重威胁它们的安全运行。二阶SQL注入由于其隐蔽性和阶段触发的特性,目前相关的研究可分为基于隐式融合和基于显式数据源标识的二阶SQL注入漏洞检测防御方法。基于隐式融合的方法无法有效的识别当前注入漏洞是由存储的攻击负载触发,而基于基于显式数据源标识的方法也存在检测类型有限和检测误报率高的缺点。因此本文提出了一种基于静态分析和动态执行的二阶SQL注入漏洞安全分析方法(SQLPsdem),不仅能判别SQL注入触发方式,也能检测多类型的二阶SQL注入,具体内容如下。首先,对二阶SQL注入的攻击原理和SQL注入攻击向量形式进行了全面的概述,然后再对基于编码规范的防御方法、基于注入测试的检测防御方法和基于部署拦截的检测防御方法做了详细的分析。其次,提出了基于静态分析标识符的SQL语句重构方法,先利用数据流分析的方法对Web应用源代码的元SQL进行采集,并利用保留字映射规则对元SQL的疑似注入漏洞的变量进行识别并分析出它们的数据源形式(如Get、Post、Cookies和Database),然后将数据源和保留字的信息作为标识符内嵌入元SQ L中。再次,设计了基于动态执行的二阶SQL注入检测防御和定位方法,先通过代理拦截动态执行的SQL语句并使用内嵌的标识符解析SQL语句提取出疑似漏洞点向量,然后基于判别字符设计了SQL注入形式的检测规则并提出了基于二义性修正和字符截断的漏洞向量防御方法,最后基于文本向量的方法对漏洞向量进行存储并实现漏洞的自动化定位。最后,在12个Web应用上从防御性能、SQL解析策略造成Web的延迟响应和SQL注入漏洞检测效果方面对SQLPsdem的可行性进行了验证与分析。实验结果表明,SQLPsdem在53,921次实际攻击下可以完全防御一阶和二阶SQL注入漏洞,Web响应的延迟不超过0.29s,系统开销不超过35%,成功检测到313个一阶SQL注入和28个二阶SQL注入漏洞,且二阶SQL注入中有20个是未被公开的漏洞。
其他文献
随着经济水平的提高,人们生活条件和医疗水平的改善,我国的人均寿命有不断延长的趋势,人口老龄化成为我国面临的基本国情,老年群体的失能风险已然成为社会风险,在此背景下,长期护理保险制度随之产生。自2016年我国正式开始进行长期护理保险试点以来,各地纷纷制定了地方性的长期护理保险实施方案,河北省作为全国老龄化程度较高的人口大省,已经在石家庄市、邢台市和承德市等多地展开试点,但是由于试点时间较短,现行参数
学位
随着国家创新驱动发展的深入实施,产业发展正由传统产业向高技术产业跨越升级,技术创新水平是影响高技术产业发展的重要因素,技术创新模式是否与企业发展情况相匹配,直接影响资源的利用率,最终影响高技术产业整体收益。在选择创新模式的过程中,因为企业的经济行为无法独立存在,企业之间的交流和人员的流动等必然会带来溢出效应。因此,考虑溢出效应对高技术产业创新模式的选择是十分重要的。首先,通过对国内外现有的关于技术
学位
随着社会信用建设的不断推进,信用的表达朝着更加广义的、多维度的范畴发展。现有C2C电子商务评价模型所表达出来的单一维度、简单累加的信用评价结果显然具有一定的弊端,很难实现对电商卖家信用真实的表达。因此,针对这一问题,本文从广义信用视角,对信用进行深入分析,实现对卖家信用评价模型的重新设计。首先,本文通过信用内涵研究以及广义信用相关实践,明确本文所要评价的对象—电子商务卖家信用的研究范畴,分析国内外
学位
本文围绕着五四文人日记与文学“现代性”的关系展开,主要探讨:在文学变革的宏观背景下,五四文人日记是如何以崭新的姿态进入中国文学的历史进程,并在“私人书写”和“公共叙事”的张力结构中呈现出特有的现代性。全文分为三章。第一章试图说明,日记作为一种现代文学形式,在五四时期超越了“前人世界”以封闭、稳定、静美为特征的古典范式,转向进入一种持续性、非瞬时的“当下”区域,体现出“变动不居”的现代性体感,并呈现
学位
2015年,中国科技部和欧盟科研与创新总司共同设立了中欧联合资助计划,以支持各自的科学家开展联合研究。学界对该计划的评估和研究相对较少,鉴于此,基于“十三五”中欧联合资助计划绩效评估的展开,通过综合的评估方法,对联合资助计划的目标定位、资助现状、资助成效和管理现状进行评估,以期为中外联合资助计划和合作计划的评估,以及未来中欧科技合作的布局和发展提供参考。评估结果显示,中欧联合资助计划具有多边合作优
期刊
认知灵活性允许个体在变化的环境中快速调整行为反应,但存在较大的个体差异——认知灵活性较低的个体在多变的环境中更可能表现出适应不良的问题。本课题考察在急性社会应激的影响下,个体在趋近-回避威胁刺激的规则的反复逆转过程中,灵活学习新规则的能力是否受到负面影响,并进一步探究了催产素对这种应激相关的认知灵活性下降的干预作用。本课题包括两项实验室研究:研究一招募了男性和女性大学生被试各50名,使用特里尔社会
学位
癫痫是一种常见的神经系统疾病,其特征包括意识的丧失以及运动、感觉或其他认知功能的紊乱。由于发作具有不确定性,癫痫不仅会对患者造成身体和心理伤害,还会对社会产生一定影响,及时且有效地预测癫痫发作对患者个人和社会都具有重要意义。目前已经存在多种基于EEG特征的癫痫发作预测方法,但其性能仍有提升空间。该文将脑电信号的时频特征与深度学习相结合,实现了发作预测性能的进一步提高。首先,分别对正常状态和癫痫发作
学位
网络给我们带来生活、工作的便捷之余,也同样带来了数据泄露、账户信息被窃取等各种安全隐患。随着网络的不断更新迭代,网络安全形势也愈发纷繁复杂,网络入侵检测作为防护网络安全的一种重要手段,近些年来也一直被广泛关注,然而,为复杂和高维数据开发有效的网络入侵检测方法仍然是一个挑战。首先,对结合了压缩网络和生成式模型的网络入侵检测算法深度自编码高斯混合模型(Deep Autoencoding Gaussia
学位
以2012-2020年中国A股上市公司为研究样本,基于中央经济工作会议精神文本与上市公司“管理层讨论与分析”文本构建经济政策关联度指标,并研究其与投资效率的关系。研究发现,经济政策关联度越高,投资效率越高。同时,采用主成分分析法构建公司治理水平的综合指标,研究发现当公司治理水平越高时,经济政策关联度与投资效率之间的正向关系更为显著。此外,进一步研究发现经济政策关联度影响投资效率的渠道主要是政策支持
期刊
随着时代的发展,信息安全被更多人所关注。为保护用户隐私,越来越多的技术采用基于生物特征的验证方法来判断登录者是否为合法用户。在诸多特征选择中,语音因其信息丰富、获取方便等优点具有潜在优势。然而基于语音的验证方法有一定的局限性,如某些说话不便的场所使用语音验证会打扰他人、嘈杂环境下语音质量变差导致验证性能严重下降等。因此,如何拓展说话人验证系统的应用范围、提高噪声环境下语音的质量成为研究关键。为解决
学位