欢迎来到天天文库
浏览记录
ID:35035838
大小:2.14 MB
页数:45页
时间:2019-03-16
《一种基于意图的sqlia检测方法》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、'"'I,一、...;;.ri-户.V-r;?Vy:/-.._-;..V;泉N.、:為4J.%>.M.气、.麵疫;f:琴.;\;>.'^f?一K;.叫軒'".-^w密;>.雀.凉4軌議学-眉觀r'..r.‘?键‘;'</’,..續'作-:嗦飞-成M\起'巧%.马媒内亂豁-"*?K1.義;:^^.^遣%--.畔开*'J,V广V,n巧y:’>J电’硕础但於文/-</.:ivV、.、I,t.義.—..狂r..H斗意>A射別
2、法r讀-,/:-. ̄;"*.:...^/.'V3I^^IW州/--薄A,v-r尹aSr:.';-.-星‘沁、>v--f户皆心r与芳巧養女V皆试‘i'參梦?、%'货、'哉藻雌六;;点;/:\乂:二'..:薛私—-苗.妾、\}.、苗:去v;-、.Vf'棘.-轉/户.聲’.、.帆一.g停.学导郭^7.■>‘S程w三网络全‘,''.:.-、X;V.,'每.-w-賓!、讓.^.義'祭巧。,\舊JI?'护v一--r;、.
3、一.一六藻>^.'4V;严舎f,填:-—;麵‘.‘,乃;V心...,.、f:.W勢.',.'..,苗?托巾,、.独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。学位论文作者签名
4、:签字日期:年月日学位论文版权使用授权书本学位论文作者完全了解江西师范大学研究生院有关保留、使用学位论文的规定,有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许论文被查阅和借阅。本人授权江西师范大学研究生院可以将学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。(保密的学位论文在解密后适用本授权书)学位论文作者签名:导师签名:签字日期:年月日签字日期:年月日摘要随着计算机网络的发展,网络中的应用程序能够为人们提供各式各样的服务,但同时应用程
5、序中存在的安全漏洞也给人们的信息安全带来了隐患,因此对应用程序安全漏洞的检测就显得尤为重要。最为常见的Web漏洞有跨站脚本攻击、SQL注入漏洞、执行恶意文件等,这些漏洞都是由于外部输入未经过验证引发的。本文提出了一种面向用户意图的检测方法,与现有从SQL语法分析的角度来判定是否存在SQLIA的动态检测方法不同,可以在程序发布前预先定义WEB程序期望的所有数据库操作,在运行时拦截提交至数据库的操作并分析,从而阻止不符合意图的操作。方法使用字符串值分析方法分析程序中SQL字符串的安全性,并为存在安全隐患的
6、SQL字符串添加污染标记,最后在程序运行时拦截SQL并检测。方法设计并实现了一种描述数据库操作意图的语言SQLIDL,将开发者提供的允许操作集合解释为以确定有限自动机(DFA)表示的字符串集合,且完全支持SQL操作的自动机表示。根据面向用户意图的检测方法,实现了基于用户意图的动态检测原型系统,通过静态分析计算热点安全性以减少动态检测的范围,对真实网站的测试结果表明该方法可有效检测并拦截现有SQLIA模式。关键词:SQL注入;动态分析;字符串有限自动机;攻击模式;静态分析;IAbstractWithth
7、edevelopmentofcomputernetwork,applicationsonnetworkcanprovidepeoplewithawidevarietyofservices.However,atthesametime,securityvulnerabilitiesinthoseapplicationsalsocausepotentialdangerstopeople'sinformationsecurity.Therefore,thedetectionofsecurityvulnerab
8、ilitiesinapplicationsisparticularlyimportant.ThemostcommonWebvulnerabilitiesincludecross-sitescripting,SQLinjectionvulnerability,executemaliciousfilesandsoon,whicharetriggeredbyunvalidatedexternalinputs.Thispaperproposesaintentio
此文档下载收益归作者所有
