返回
针对asp程序的sql注入攻击概述及防范方法研究

针对asp程序的sql注入攻击概述及防范方法研究

ID:5301511

大小:175.99 KB

页数:2页

时间:2017-12-07

针对asp程序的sql注入攻击概述及防范方法研究_第1页
针对asp程序的sql注入攻击概述及防范方法研究_第2页
资源描述:

《针对asp程序的sql注入攻击概述及防范方法研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、63针对ASP程序的SQL注入攻击概述及防范方法研究张剑锋’刘兴纲2(1.2张家口职业技术学院河北张家口075051)摘要:随着网络应用的日益广泛,基于AsP语言的WEB应用程序越来越多,而它脆弱的安全性也已经成为网络安全攻防的新焦点。本文针对目前AsP攻击中最常见的sQL注入攻击和防范进行了深入的研究,并通过实例说明了在ASP#~序中如何进行sQL注入的防范。通过这些方法的实施可以提高网站程序的安全性,切实降低被攻击的风险。关键词:SQL~i.&;网络安全;ASP;wEB程序在网络异常发达的今天,网络上各种大大小小的网站扑天2.SQL注入的实现途径盖地,网站已经成为交流沟通

2、、展示个性、商业宣传的必不可少的手段,它的存在和出现极大地推动了人类经济及文明的发用户通过一定的途径将自己的输入提交给WEB应用程序,展。但是,网络在带给人们便利服务的同时也招来了越来越多而SQL注入也就有其相应的攻击途径。恶意用户一般通过客户的恶意攻击者,网站的安全日益受到严重的威胁。端输入、server变量以及cookie-种基本方式进行畸形SQL语句从2004年开始,SQL注入攻击技术逐步发展并迅速流行起查询的提交,从而达到进行SQL注入的最终目的⋯。来。由于技术的成熟加上各种利用工具的出现,使得SQL注入(1)通过用户输入注入:客户端用户的输入主要是通过H丌P攻击成为

3、脚本黑客必会的一项入侵技术。而SQL注入漏洞产生的GET和POST请求进行提交。WEB应用程序通过访问这些请的根本原因是因为程序员在编写WEB程序时没有设定足够的用求变量并引用包含在这些变量中的用户输入值《变量值)动态生成户输入验证,这使别有用心的非法用户利用SQL的语法,在应SQL查询语句,提交给后台数据库进行数据的查询J。而恶意用S用Y程序与数据库交互的SQL语句中插入精心编制的额外的SQL户则是通过精心构造用户输入来进行SQL注入。这是正常用户S语句,从而对数据库进行非法查询和修改。输入的最常见途径,也是恶意用户最常用的攻击途径。SE由于SQL注入攻击利用的是SQL语法

4、,利用ASP开发的网站(2)通过Server变量注入:Server变量通常包含在HTTP、网C程U序不论使用的是SQLServer、MySQL、还是Access作为后络header和环境变量中。其中Headers提供了有关请求和响应R台数据库,都无法逃脱被攻击的恶运。同时,SQL注入是从正的附加信息,也包括了浏览器生成请求和服务端响应过程的信Yr常的WWW端口访问,和正常的WEB页面访问没什么区别,所息。如QUERY—STRlNG变量包含的是输入网络地址后问号后以一般防火墙不会对SQL注入发出警报。因而,如果管理员没面所带的参数J。如果应用程序未对这些变量采取过滤等相应系查看

5、IlS日志的习惯,可能被入侵很长时间都不会发觉。措施,则由其动态生成的SQL语句提交到后端数据库后,恶意统用户就可能通过伪造HTTP和headers的值操纵数据库,生成攻安1.SQL注入的基本方法全击。目前,SQL注入最常用的方法是常规注入方法,因为它有(3)通过cookie注入:Cookie是WEB应用程序产生的包含状较高的攻击效率,而所谓的常规注入,就是利用程序员对用户态信息的文件,存储在客户端并由客户端完全控制。因此恶意输入数据的合法性检测不严或不检测的特点,故意从客户端提用户可以任意处理cookie的内容,如果WEB应用程序用cookie交特殊的代码,从而收集程序及服

6、务器的信息,从而获取想得的内容动态构造SQL查询,那么恶意用户就可以使用cookie的内到的资料。容构造SQL查询,并将攻击嵌2~cookie提交J。例如正常网址http://www.XXX.com/xxx.asp?ID=66在提交不管这些用户可能的输入(注入)途径是哪种,都有可能导到服务器后,服务器将进行类似“Selectfrom表名where致查询结构的改变。由于恶意用户的输入和正常输入无任何差字段=&lD’的查询,查询结果返回给客户端,如果在客户端别,因此,只要恶意用户精心构造输入内容,都可能导致SQL故意提交以下网址:http://www.XXX.com/xxx.as

7、p?ID=66and注入攻击。user>0,这时服务器将运行“Selectfrom表名where字段3.SQL注入防范技术的分析研究=66anduser>0”这样的查询,这个语句会因为相关参数不存在而无法运行下去,这时客户端将出现以下错误提示信息:常见的SQL注入攻击防范技术主要有编码防范机制、漏洞错误类型:识别机制和防御机制。MiCrOSOftOLEDBProviderforODBCDrivers(1)编码防范机制(Ox80040EO7)由于从编码方面对攻击进行防范有很好的理论基础,所以【Micros

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。