SQL注入攻擊及防御研究.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，基于數(shù)據(jù)庫的Web應(yīng)用程序己經(jīng)廣泛應(yīng)用于企業(yè)的各種業(yè)務(wù)系統(tǒng)中。然而由于人為和技術(shù)等因素限制，使得Web應(yīng)用程序存在大量安全隱患。在影響Web應(yīng)用程序安全的諸多因素中，SQL(Structured Query Language，SQL)注入攻擊是最常見且危害最廣的攻擊，因此，如何有效的防御SQL注入攻擊成為保證Web應(yīng)用程序安全性的關(guān)鍵。
　　近幾年來，對(duì)于SQL注入攻擊防御的研究已經(jīng)取得一些進(jìn)展，但現(xiàn)有的

2、SQL注入攻擊防御措施仍存在局限性。首先，用戶輸入過濾措施存在對(duì)正常數(shù)據(jù)的誤報(bào)問題和對(duì)惡意數(shù)據(jù)的漏報(bào)問題。用戶輸入過濾措施對(duì)所有的數(shù)據(jù)采用相同的方法進(jìn)行過濾，而且不允許數(shù)據(jù)中包含SQL關(guān)鍵字，但是以Post方式提交到服務(wù)端的數(shù)據(jù)允許包含關(guān)鍵字，這就造成了對(duì)正常數(shù)據(jù)的誤報(bào)問題。用戶輸入過濾措施采用的過濾方法，只能過濾常見的SQL注入攻擊，無法過濾未知攻擊或著多變的攻擊，這就造成了對(duì)惡意數(shù)據(jù)的漏報(bào)問題。其次，語法結(jié)構(gòu)比較措施存在檢測效率低的

3、問題。語法結(jié)構(gòu)比較措施通過在Web應(yīng)用程序的后臺(tái)數(shù)據(jù)庫中維持一個(gè)SQL語句主文件（SQLMF）來和Web應(yīng)用程序運(yùn)行時(shí)動(dòng)態(tài)產(chǎn)生的SQL語句進(jìn)行比較，檢測是否發(fā)生SQL注入攻擊，當(dāng)SQLMF中SQL語句的數(shù)量比較大時(shí)，會(huì)使得匹配的效率降低，匹配檢測需要兩個(gè)過程，因此匹配檢測過程也是比較繁瑣的。本文對(duì)SQL注入攻擊防御中存在的上述問題進(jìn)行了研究，主要工作如下:
　　（1）針對(duì)用戶輸入過濾措施存在對(duì)正常數(shù)據(jù)的誤報(bào)問題，提出一種基于Htt

4、p請(qǐng)求分類的用戶輸入過濾措施，該措施對(duì)通過Post方式提交的數(shù)據(jù)采取基于規(guī)則的方法進(jìn)行過濾，對(duì)通過Get方式提交的數(shù)據(jù)先采取基于關(guān)鍵字的方法進(jìn)行過濾，然后采用基于規(guī)則的方法過濾，從而避免了誤報(bào)問題。而針對(duì)用戶輸入過濾措施存在對(duì)惡意數(shù)據(jù)的漏報(bào)問題，只要增加語法結(jié)構(gòu)比較措施即可，因?yàn)檎Z法結(jié)構(gòu)比較措施可以從語法結(jié)構(gòu)的角度預(yù)防未知攻擊或著多變的攻擊。
　　（2）針對(duì)語法結(jié)構(gòu)比較措施存在檢測效率低的問題，提出一種基于參數(shù)化分類的動(dòng)態(tài)查詢匹配

5、措施，首先把主文件SQL語句中的用戶輸入采用參數(shù)占位符替換，然后根據(jù)SQL語句操作類型不同，可以把原主文件劃分為多個(gè)新的主文件，這樣主文件的大小得到了降低，而且匹配檢測階段也進(jìn)行了簡化，只進(jìn)行精確匹配檢測，不需要模糊匹配檢測，從而提高了檢測效率。
　?。?）基于以上兩種措施，提出一種基于分類的SQL注入攻擊雙層防御模型。該模型包括輸入過濾模塊和語法比較模塊，并以J2EE平臺(tái)的Web應(yīng)用程序?yàn)榉烙膶?duì)象。本模型利用Filter程序?qū)?/p>