收藏 分享(赏)
下载资源 加入VIP,免费下载

一种自动SQL注入攻击检测与利用系统的研究实现.doc

上传人:weiwoduzun 文档编号:1901401 上传时间:2018-08-29 格式:DOC 页数:74 大小:11.01MB
下载 相关 举报
一种自动SQL注入攻击检测与利用系统的研究实现.doc_第1页
第1页 / 共74页
一种自动SQL注入攻击检测与利用系统的研究实现.doc_第2页
第2页 / 共74页
一种自动SQL注入攻击检测与利用系统的研究实现.doc_第3页
第3页 / 共74页
一种自动SQL注入攻击检测与利用系统的研究实现.doc_第4页
第4页 / 共74页
一种自动SQL注入攻击检测与利用系统的研究实现.doc_第5页
第5页 / 共74页
点击查看更多>>
资源描述

1、 北京交通大学硕士学位论文一种自动SQL注入攻击检测与利用系统的研究实现姓名:符宇波申请学位级别:硕士专业:计算机科学与技术指导教师:张骏温201106誩 , 緀 猠 觚 琲 , 图 隳 汀图 系 统 操 作 流 程 图 手 动注 入 检测 流 程 图 自 动注 入 检测 流 程 图 。 图 漏 洞利 用模 块 流 程 图 图 图 图 扫 描 整 个站 点 图 扫 描 產 页 面 图 攻击 测 试 是 人们 长 时间 没 有 发 现 它, 年和 年由 使它开始 受 到人们的 关注 【 浚 芯咳 嗽笨 J佳 芯坎 富 胹 注 入 攻击 的 技术。 由于国际互 联 网 的 应 用 广泛 ,黑 客

2、攻击 ,各种病 毒 传 播 ,各种后门 木 马 入 侵破坏,使互 联 网 的 安 全 性 较 低 ,不 良信 息 大 量 传 播 ,各种组 织 出 于各种目的 而 进 般 从 以 下 几个 方面展开【 俊 】【 俊 】:的 复 查 ,如 肌 、 冉 写 胫 锌梢 越 衧 注模 式,提升 权限 ,窃 取 哈希 口令, 甿 疍 、 文件系 统 的 带外通信 等 。 許 盲注 的 利 用锁 定 数据库 服 务器 , 锁 定 应用 数据、 提 高 服 务器 日 志的 冗余、 配 置网络 访 问控 制有通过 算 法 检测到 的 非 法 的 输入不 让后 台数据库 运 行 。对 敏感信 息 进 行 加 密

3、 。通常 是对 口 令 进 行 加 密 。 工作 内 容提 出了 关 键域 名 的 概念 , 并 运用 其 在网 络 爬 虫 中 , 以 找出一个网 页的 超链接 论文结构安 排思想 等。第 五章对所做 系统 进行 测试 。守。 !R弧 一表 示 层 库 ,然 后 用 这 些 用 户名和密 码去一一尝 试 登陆 钥诹罱斜 平 就 是 对 口看 该 网 段上的 数据,在 交 换型 网 络上,如 果给服务 器 安 装上了 一个嗅 探 器 也 可 以扫描 的时 候 自动 去 除 重 复 项, 使 扫描 出 的网页链 接 全 面 而 唯 一。 玫 陌 踩 粗校 肴毕葑 魑 5诙 舐 础 。页 胁馐 粤

4、耍 詓 注入 攻 击 步 骤 可以有 如下 几 步 :直接 寻找注入 点。可以使 用 最 简 单 的 在 问 筇 砑印俺 鷇 、 单 引 号 等 , 因为 是 寻找注入 点, 在 页面 数量较多 的 情况 下, 只 用 简 单 方 法查 找, 不过 这 样 漏 报 比 较大 , 所 以可以在 怀 疑的 页面 中 手 工 进行 复杂一 些的 注入进行 辨别, 减少 漏 报 。获 取 信息 。如果 上 面 的 两步进行 的 顺 利, 那 么就可以对 注入点进行 利用 了,利用 的 第一 步是 尽可能 多 的 获 取 有 关 的 敏感信 息 , 如数 据 库 种类 , 数据 库 是 否 支持 多 语

5、 句 查 询 与子 查 询 , 数据 库 的 用 户 账 号 , 数据 库 用 户 的 权 限 等 。实施 直接 攻 击 。如果 拿 到 的 数据 库 用 户 账 号 的 权 限 是 的 话 , 就可以直接加入添加管 理 员账 号 , 开放 远程 终端 服 务, 生 成 文 件 等 的 命 令 了。间接 进 行 攻 击 。间接 攻 击 是 指 在 不能 像上 面 那 样 直接 运 行 系 统命 令 的 时候 , 可以对 数据 库 的 内容 进行 猜解 , 如管 理 员为 了方 便 维护, 一 般都 会 开启 后 台管 理 的 功 能 , 管 理 用 的 用 户 名 和密码 都 会 保 存在 数

6、据 库 中 , 如果 可以猜解 出 来,那 么就可进 行 攻 击 了 。 宰 纳 砻 鹷 字 段 椤痑 查 询 条 件 锄 参 数 为搜 索 项下 面 分别 详 细介 绍 匙 牒 蚐 盲 注 的 实 现原 理 和应 用 。它 们 的 函 数 , 注 入 方 法 都 是 有 差 异 的 。下 面 以 等 字 眼 , 表 明此 网 站 后 台 数 据 库为 叫 在 将 盯 值 【 】 【 转 鷈 , 其 实 现原 理 和获 得用户 名 是 一样的, 通 过 类型转换 制造 错 误 , 在 错 误 信息 中 找 到数 据 库名 。当 遇 到无 论 如何, 返 回的都 是 一样的 页 面 时 , 可以

7、 利 用基于 时 间 的推 断 技 术 ,符 是 敲 聪 低 逞邮 氲 拿 睿 庋 谟 蠸 盲 注 漏洞的 前 提 下 , 就 不用 管 的 一种 方 法 , 可以 利 用 拆分 ,然后 在 拆分 后 的参 数中 注入 攻 击 字 符 串,但是当 数据 库解 析 它 的时 候,与未 拆分 时 的效果 是一 样的,这样攻 击 字 符 串就 能 得 到 执行了,对 于 拆分 ,比如:奉 行 的环 境 下 进行拆分 就 成 为了:疓 畐 入 锄 白 鱟锄 琻 , 如用 鷈 得 到 数据 库名 ,利用其本身不 是数字 型 ,然后和 数字 进行比信 息 就 全 部得 到 了,具 体 的如下 : 痗 :

8、、 躻 州 啪 。邯 籰 仁 叮海 疭 以 產 ; 觚 这 样 ,如 果 过 滤 器 设 计 得 不好,就 可以 绕 过 它了。 肧 注释注入 : 弛 可以 改写为 :可以 编 码 为 : 木 觚 宰 混 合两 种 或两 种 以上的 攻 击方法 对 目 标进行 攻 击, 效 果比 单 一 的 各 个攻 击的 嗽 榷 搴玫 拿 舾凶 址 绲 拧 、 等 。 褂 胹 参数查 询 , 需 要开发 语言 的 支 持 , 。埽畁 都 支 持 该功 能, 此 功现 如今 研 究较 多的是数据的合 法 性 检查 , 因 为 这一方 式不 要 求 开 发语言的支合 法 性 检查 是多种 多样 的, 但 其 思路都 是大致 一样 的, 基 本 都 是利 用算法 得合 法, 不 同 则 为 非 法。【 】

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 经营企划

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报