资源描述:
《论文-论网站如何防注入攻击》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、论网站如何防注入攻击摘要:随着网络技术的迅猛发展,计算机网络已经成为人们工作生活中的重要组成部分,在各个领域迅速普及,整个社会对其的依赖程度越来越大。随着网路安全意识的增强,单一方法的渗透测试已经不能满足远程渗透的需要。更为有效的远程渗透测试采用的是渐进式的综合攻击技术,突破内网提取目标主机的权限,以最终获取机密资料。因此SQL注入攻击为主的web脚本攻击作为进入内网的首选,成为黑客渗透测试中重要的技术之一。本文以asp和sqlserver为例详细阐述了sql注入攻击的基本原理和过程,并从web应用生
2、命周期的各个环节出发,综合探讨防御sql注入攻击的有效方法和策略。关键词:SQL注入,攻击,防范,防注入攻击,网站安全。HowtopreventSQLinjectionattacks英文姓名字号:10,TimesNewRoman,斜体(但上角标为止体),标点用半角,如:•大写,名词首犬写,名的字中间用“•”连接,段前14.75磅,行距135磅。例如:ZHANGXiaxcm',LISP(英文单位(与中文单位严谨对应),地址(包括省、市、邮编)字号为10,TimesNewRoman,标点用半角,词首大写,
3、行距13.5磅,段后空12.75磅)Abstract:Withtherapiddevelopmentofnetworktechnology,computernetworkhasbecomeanimportantpartinpeople'slife,therapidpopularizationinvariousfields,thewholesocietymoreofitsgrowingdependence・Withtheincreaseofnetworksecurityawareness,thesing
4、lemethodofpenetrationtesthasbeenunabletomeettheneedsofremotepenetration・Amoreeffectivewayofremotepenetrationtestisusedinprogressivecomprehensiveattacktechnology,breakthroughextractionofthetargethostnetworkpermissions,toeventuallyobtaintheconfidentialinf
5、ormation.Therefore,SQLinjectionattackbasedwebscriptingattacksintothenetworkasthepreferred,becomeoneofthemostimportanttechnicalhackerspenetratetest.BasedonASPandserverSQLasanexample,thispaperexpoundsthebasicprincipleandprocessofSQLinjectionattack,andcomp
6、rehensivelydiscussestheeffectivemethodsandStrategiesofdefendingSQLinjectionattacksfromallaspectsofwebapplicationlifecycle.Keywords:SQLinjection,attack,prevention,antiattack,websitesecurity•0随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也
7、参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQLInjection,即SQL注入。1SQL注入攻击的基本原理所谓sql注入攻击[1],就是攻击者把sql命令插入到web表单的输入域或页而请求的査询字符串中,欺骗服务器执行恶意的sql命令。在某些表单中,用户输入的内容被宜接川來构造(或者影响)动态sql命令,或作为存储过程的输入参数,这类表单特别容易受到
8、sql注入式攻击。sql注入过程中,攻击者通过从客户端提交构造巧妙的sql代码,收集服务器返回的结果信息,从而获取想要得到的资料并实施攻击。1SQL注入攻击实现原理SQL注入攻击是存在于常见的多连接的应用程序中的一种漏洞,攻击者通过在应川程序预先定义好的查询语句结尾加上额外的SQL语旬元素,欺骗数据库服务器执行非授权的任意査询。这类应川程序一般是Web应用程序,它允许用户输入查询条件,并将查询条件嵌入SQL语句中,提交到数据库中执行。通过构造畸形SQL语