SQL注入攻击与检测技术研究.pdf

学术研究 A cadem ic尺esearch SQL注入攻击与检测技术研究 张 博 (江南计算技术研究所 ，江苏 无锡 214083) 【摘 要 ]随着互联网的发展和普及 ，基于 Web服务器语言和后 台数据库模式的网站越来越多 ，其安全形势也 日渐严峻，SQL 注入是其 中最具威胁的一类攻击。介绍 了SOL注入攻击的原理与特点，分析了SQL注入攻击的一般过程和攻击方法 ，最后提 出对该攻击的检测模型。实验证明，该检测模型对主流 的SQL注入攻击具有较好的检测效果。 【关键词 ]sQL注入攻击 ；入侵检测 ；协议分析 ；关联分析 【中图分类号 ]TP393．08 [文献标识码 ]A 【文章编号 】l009—8054(2010)05-0090-03 SQLInjectionAttackandDetectionTechnology ZHANG BO (JiangnanInstituteofComputingTechnology，WuxiJianagsu214083，China) A【bstractJWiththedevelopmentandpopularizationoftheInternet，anumberofwebsitesbasedonwebServerLanguageandback— enddatabasehaveoccu~ed，andtheirsecuritybecomesmoresevere．ThisarticledescribeshteprinciplesandcharacteristicsofSQL injectionattack，analyzesthegeneralprocessandattackmeansofthisattack，andproposesthe~tackdetectionmethod．Experiments showthattheproposedmodelhasgooddetectionresultsagainsthtemainSQLinjectionattack． K【eywordslSQLinjection；intrusiondetection；protocolanalysis；relevanceanalysis 用 的查询 SQL语 句 为 “select*from admLnwhereuesrname= 0 引 言 ‘uesr’andpassword= ‘pwd”’，如果输入用户名和密码， 随着 Web应用 的 日益 广泛 ，相 关安全 问题逐渐 凸显，网 将返 回该用户 的相关数据。但是如果输入的用户名为 ：…user’ 络上针对 Web膨用的攻 击事件 也愈来愈多。根据 owAsP组 or 1‘’= 1‘。一一”，查询语 句将 会变成 “selcet*from admin 织公布的 Web应用攻击手段 的排行榜 ，SQI注入攻击是 目前 whereusem ame= k‘lesr’or ‘l’= l‘’一一and Dassword=… ’，“一一” 数量最多、危害最大的3种攻击手段之一 。文中分析了sQL注 是 SQL Server中的注释语句 ，能够保证其后的SQL语句不被执 入漏洞的发现与利用方法 ，提出基于协议分析的sQL注入检测 行。这条语句通过精心构造的用户名输入 ，导致了对用户认证的 模型，有效降低 了基于数据库的Web应用的安全风险。 绕过，只需要用户名就能够利用该用户身份登录 ，非法进入高权