发明名称 |
一种改进的SQL注入漏洞检测方法 |
摘要 |
本发明公开了一种改进的SQL注入漏洞检测方法,包括数据包构造模块、服务器交换模块、SQL注入验证模块,通过数据包构造模块实现将原始数据包进行解析,自动解析出注入点可能存在的位置,构造不同的数据包,通过服务器交互模块负责把构造的数据包发送出去并接收服务器返回数据包,SQL注入验证模块通过若干规则设定将普通报错法和盲注入方法相结合,并通过对不同请求的返回页面的智能分析判断是否存在关键词,从而判断是否存在SQL注入漏洞,并给出结果。本发明采用普通SQL注入检测和盲注入检测相结合的思想,对不同请求的返回页面进行智能分析,从而更有效的发现网站SQL注入点,并列出可能存在的漏洞,为网站的安全评估提供一个较为可靠的参考依据。 |
申请公布号 |
CN102799830A |
申请公布日期 |
2012.11.28 |
申请号 |
CN201210277272.7 |
申请日期 |
2012.08.06 |
申请人 |
厦门市美亚柏科信息股份有限公司 |
发明人 |
张婷 |
分类号 |
G06F21/00(2006.01)I;G06F17/30(2006.01)I |
主分类号 |
G06F21/00(2006.01)I |
代理机构 |
北京恒都律师事务所 11395 |
代理人 |
安筱琼 |
主权项 |
一种改进的SQL注入漏洞检测方法,其特在在于:包括数据包构造模块、服务器交换模块、SQL注入验证模块,通过数据包构造模块实现将原始数据包进行解析,自动解析出注入点可能存在的位置,构造不同的数据包,通过服务器交互模块负责把构造的数据包发送出去并接收服务器返回数据包,通过SQL注入验证模块通过若干规则的设定,并通过比较返回页面的异同智能解析网页,判断是否存在关键词,从而判断是否能注入,并给出结果,其特征在于,所述的步骤:(1)开始网页检测;(2)分析待检测网页对应的数据包或者URL;(3)进行普通SQL注入尝试报错法;(4)返回报错信息,如果存在报错信息,判断为可注入,如果无报错信息,则使用盲注入方法尝试;(5)进行盲注入方法尝试;(6)对返回页面结果出现的关键字进行智能分析,若返回网页出现了预定义的关键字,则判断为可注入,若无出现预定的关键字,则判断为不可注入。 |
地址 |
361008 福建省厦门市软件园二期观日路12号102-402单元 |