SQL注入攻擊及防御研究.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，基于數(shù)據(jù)庫(kù)的Web應(yīng)用程序己經(jīng)廣泛應(yīng)用于企業(yè)的各種業(yè)務(wù)系統(tǒng)中。然而由于人為和技術(shù)等因素限制，使得Web應(yīng)用程序存在大量安全隱患。在影響Web應(yīng)用程序安全的諸多因素中，SQL(Structured Query Language，SQL)注入攻擊是最常見且危害最廣的攻擊，因此，如何有效的防御SQL注入攻擊成為保證Web應(yīng)用程序安全性的關(guān)鍵。
　　近幾年來(lái)，對(duì)于SQL注入攻擊防御的研究已經(jīng)取得一些進(jìn)展，但現(xiàn)有的

2、SQL注入攻擊防御措施仍存在局限性。首先，用戶輸入過(guò)濾措施存在對(duì)正常數(shù)據(jù)的誤報(bào)問(wèn)題和對(duì)惡意數(shù)據(jù)的漏報(bào)問(wèn)題。用戶輸入過(guò)濾措施對(duì)所有的數(shù)據(jù)采用相同的方法進(jìn)行過(guò)濾，而且不允許數(shù)據(jù)中包含SQL關(guān)鍵字，但是以Post方式提交到服務(wù)端的數(shù)據(jù)允許包含關(guān)鍵字，這就造成了對(duì)正常數(shù)據(jù)的誤報(bào)問(wèn)題。用戶輸入過(guò)濾措施采用的過(guò)濾方法，只能過(guò)濾常見的SQL注入攻擊，無(wú)法過(guò)濾未知攻擊或著多變的攻擊，這就造成了對(duì)惡意數(shù)據(jù)的漏報(bào)問(wèn)題。其次，語(yǔ)法結(jié)構(gòu)比較措施存在檢測(cè)效率低的

3、問(wèn)題。語(yǔ)法結(jié)構(gòu)比較措施通過(guò)在Web應(yīng)用程序的后臺(tái)數(shù)據(jù)庫(kù)中維持一個(gè)SQL語(yǔ)句主文件（SQLMF）來(lái)和Web應(yīng)用程序運(yùn)行時(shí)動(dòng)態(tài)產(chǎn)生的SQL語(yǔ)句進(jìn)行比較，檢測(cè)是否發(fā)生SQL注入攻擊，當(dāng)SQLMF中SQL語(yǔ)句的數(shù)量比較大時(shí)，會(huì)使得匹配的效率降低，匹配檢測(cè)需要兩個(gè)過(guò)程，因此匹配檢測(cè)過(guò)程也是比較繁瑣的。本文對(duì)SQL注入攻擊防御中存在的上述問(wèn)題進(jìn)行了研究，主要工作如下:
　　（1）針對(duì)用戶輸入過(guò)濾措施存在對(duì)正常數(shù)據(jù)的誤報(bào)問(wèn)題，提出一種基于Htt

4、p請(qǐng)求分類的用戶輸入過(guò)濾措施，該措施對(duì)通過(guò)Post方式提交的數(shù)據(jù)采取基于規(guī)則的方法進(jìn)行過(guò)濾，對(duì)通過(guò)Get方式提交的數(shù)據(jù)先采取基于關(guān)鍵字的方法進(jìn)行過(guò)濾，然后采用基于規(guī)則的方法過(guò)濾，從而避免了誤報(bào)問(wèn)題。而針對(duì)用戶輸入過(guò)濾措施存在對(duì)惡意數(shù)據(jù)的漏報(bào)問(wèn)題，只要增加語(yǔ)法結(jié)構(gòu)比較措施即可，因?yàn)檎Z(yǔ)法結(jié)構(gòu)比較措施可以從語(yǔ)法結(jié)構(gòu)的角度預(yù)防未知攻擊或著多變的攻擊。
　　（2）針對(duì)語(yǔ)法結(jié)構(gòu)比較措施存在檢測(cè)效率低的問(wèn)題，提出一種基于參數(shù)化分類的動(dòng)態(tài)查詢匹配

5、措施，首先把主文件SQL語(yǔ)句中的用戶輸入采用參數(shù)占位符替換，然后根據(jù)SQL語(yǔ)句操作類型不同，可以把原主文件劃分為多個(gè)新的主文件，這樣主文件的大小得到了降低，而且匹配檢測(cè)階段也進(jìn)行了簡(jiǎn)化，只進(jìn)行精確匹配檢測(cè)，不需要模糊匹配檢測(cè)，從而提高了檢測(cè)效率。
　　（3）基于以上兩種措施，提出一種基于分類的SQL注入攻擊雙層防御模型。該模型包括輸入過(guò)濾模塊和語(yǔ)法比較模塊，并以J2EE平臺(tái)的Web應(yīng)用程序?yàn)榉烙膶?duì)象。本模型利用Filter程序?qū)?/p>