发明名称 |
一种SQL注入漏洞检测方法及系统 |
摘要 |
本发明公开了一种作为网络安全的重要产品之一的主机脆弱性扫描系统的关键技术——SQL注入漏洞检测技术。特征是向服务器提交正常的访问请求数据和不同类型的SQL注入数据,接收服务器的返回结果,然后交叉比较不同请求的返回结果,并根据比较结果判断服务器对提交数据的处理是否存在SQL注入漏洞。可以通过网页爬虫方式、浏览器插件方式和手工输入方式定义待验证的网页地址。可以从四种不同类型的攻击模板中选择一个或多个模板,检测待验证网页上是否存在SQL注入漏洞。可以在服务器屏蔽错误信息的情况下,通过交叉比较正常访问请求和SQL注入语句的返回结果,判断服务器对用户提交数据的处理是否存在SQL注入漏洞。 |
申请公布号 |
CN101312393B |
申请公布日期 |
2011.08.31 |
申请号 |
CN200710099534.4 |
申请日期 |
2007.05.24 |
申请人 |
北京启明星辰信息技术股份有限公司 |
发明人 |
周涛;叶润国;骆拥政 |
分类号 |
H04L9/00(2006.01)I;H04L29/06(2006.01)I |
主分类号 |
H04L9/00(2006.01)I |
代理机构 |
北京市商泰律师事务所 11255 |
代理人 |
毛燕生 |
主权项 |
一种SQL注入漏洞检测方法,在用户终端中安装了SQL注入漏洞检测系统,所述SQL注入漏洞检测系统包括:待验证网页定义单元、SQL注入攻击模板选择单元、交叉验证单元,其特征在于所述SQL注入漏洞检测方法包括以下步骤:①待验证网页定义单元设置待验证网页;②判断是否所有网页都处理完毕,是则结束,否则转步骤③;③提取一个尚未处理网页;④在SQL注入攻击模板选择单元中选择攻击模板;⑤依据该网页的攻击模板,构造SQL注入攻击语句,并提交到服务器;⑥在交叉验证单元中对服务器返回的结果集进行交叉验证,通过比较提交的正常访问请求和SQL注入攻击语句所触发的服务器的返回结果是否相同,判断待验证网页上是否存在SQL注入漏洞,然后转步骤②。 |
地址 |
100094 北京市海淀区东北旺西路8号中关村软件园21号启明星辰大厦 |