当前位置:论文写作 > 毕业论文范文 > 文章内容

针对ASP程序的SQL注入攻击概念防范方法

主题:sql注入攻击 下载地址:论文doc下载 原创作者:原创作者未知 评分:9.0分 更新时间: 2024-02-20

简介:适合注入攻击论文写作的大学硕士及相关本科毕业论文,相关注入攻击开题报告范文和学术职称论文参考文献下载。

注入攻击论文范文

sql注入攻击论文

目录

  1. 1. SQL注入的基本方法
  2. 3.SQLt入防范技术的分析研究
  3. 4.总结语
  4. sql注入攻击:合天网安实验室 sql注入xss攻击实验合集

张剑锋1刘兴纲2

(1.2张家口职业技术学院河北张家口075051)

摘 要:随着网络应用的日益广泛,基于ASP语言的WEB应用程序越来越多,而它脆弱的安全性也已经成为网络安全攻防的新焦点.

本文针对目前ASP攻击中最常见的SQL注入攻击和防范进行了深入的研究,并通过实例说明了在ASP程序中如何进行SQL注入的防范.通过这些方法的实施可以提高网站程序的安全性,切实降低被攻击的风险.

关键词:SQL注入;网络安全;ASP, WEB程序

在网络异常发达的今天,网络上各种大大小小的网站扑天盖地,网站已经成为交流沟通、展示个性、商业宣传的必不可少的手段,它的存在和出现极大地推动了人类经济及文明的发展.但是,网络在带给人们便利服务的同时也招来了越来越多的恶意攻击者,网站的安全日益受到严重的威胁.

从2004年开始,SQL注入攻击技术逐步发展并迅速流行起来.由于技术的成熟加上各种利用工具的出现,使得SQL注入攻击成为脚本论文范文必会的一项入侵技术.而SQL注入漏洞产生的根本原因是因为程序员在编写WEB程序时没有设定足够的用户输入验证,这使别有用心的非法用户利用SQL的语法,在应用程序与数据库交互的SOL语句中插入精小编制的额外的SQL语句,从而对数据库进行非法查询和修改.

sql注入攻击:合天网安实验室 sql注入xss攻击实验合集

由于SQL注入攻击利用的是SQL语法,利用ASP开发的网站程序不论使用的是SQL Server、MySQL、还是Access作为后台数据库,都无法逃脱被攻击的恶运.同时,SQL注入是从正常的www端口访问,和正常的WEB页面访问没什么区别,所以一般防火墙不会对SQL注入发出警报.因而,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉.

1. SQL注入的基本方法

目前,SQL注入最常用的方法是常规注入方法,因为它有较高的攻击效率,而所谓的常规注入,就是利用程序员对用户输入数据的合法性检测不严或不检测的特点,故意从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取想得到的资料.

例如正常*http:Uwww.xxx.com/xxx.aspID等于66在提交到服务器后,服务器将进行类似“Select&,acute,from表名where字段:”&,ID的查询,查询结果返回给客户端,如果在客户端故意提交以下*http://www.xxx.com/xxx.aspID等于66 and user>,0,这时服务器将运行“Select+from表宅where字段等于66 and user>,0”这样的查询,这个语句会因为相关参数不存在而无法运行下去,这时客户端将出现以下错误提示信息:

错误类型:

Microsoft OLE DB Provider for ODBC Drivers(Ox80040E07)

【Microsoft】【ODBC SQL Server Driver】【SQL Server】将nvarchar值‘sonyb’转换为数据类型为int的列时发生语法错误.

xxx.asp,第n行

这时对数据库有基本常识的人就会从这个出错提示中获得以下信息:该站使用MS—SQL数据库,用ODBC连接,连接帐号名为sonybb.

运用同样的方法就可以对数据库的类型、用户权限、表名、列名和字段名进行试控攻击. 2.SQL注入的实现途径 用户通过一定的途径将自己的输入提交给WEB应用程序,而SQL注入也就有其相应的攻击途径.恶意用户一般通过客户端输入、server变量以及cookie三种基本方式进行畸形SQL语句查询的提交,从而达到进行SQL注入的最终目的.

(1)通过用户输入注入:客户端用户的输入主要是通过H论文范文P的GET和POST请求进行提交.WEB应用程序通过访问这些请永变量并引用包含在这些变量中的用户输入值《变量值)动态生成SQL查询语句,提交给后台数据库进行数据的查询.而恶意用户则是通过精心构造用户输入来进行SQL注入.这是正常用户输入的最常见途径,也是恶意用户最常用的攻击途径.

(2)通过Server变量注入:Server变量通常包含在H论文范文P、网gg header和环境变量中.其中Headers提供了有关请求和响应的附加信息,也包括了浏览器生成请求和服务端响应过程的信息.如QUERY-STRING变量包含的是输入网络地址后问号后面所带的参数.如果应用程序未对这些变量采取过滤等相应措施,则由其动态生成的SQL语句提交到后端数据库后,恶意用户就可能通过伪造H论文范文P和headers的值操纵数据库,生成攻击.

(3)通过cookie注入:Cookie是WEB应用程序产生的包含状态信息的文件,存储在客户端并由客户端完全控制.因此恶意用户可以任意处理cookie的内容,如果WEB应用程序用cookie的内容动态构造SQL查询,那么恶意用户就可以使用cookie的内容构造SQL查询,并将攻击嵌入cookie提交.

不管这些用户可能的输入(注入)途径是哪种,都有可能导致查询结构的改变.由于恶意用户的输入和正常输入无任何差别,因此,只要恶意用户精心构造输入内容,都可能导致SQL注入攻击.

3.SQLt入防范技术的分析研究

常见的SQL注入攻击防范技术主要有编码防范机制、漏洞识别机制和防御机制.

m编码防范机制

由于从编码方面对攻击进行防范有很好的理论基础,所以国内对SQL注入防范的研究主要集中在这个领域.

编码防范机制主要有存储过程和检测/防御编码防范模型两种主要的形式,由于篇幅所限,本文只对存储过程方法进行简单介绍,检测/防御编码防范模型方法请读者自行查阅参考文献.

由于SQL注入攻击的本质是SQL命令和用户输入没有分别处理所带来的问题,因此将SQL语句从WEB应用程序中分离是解决SQL注入攻击的一个重要手段.而存储过程和Prepared语句都是在加入用户输入之前对SQL语句进行编译,这样用户的输入就不再对实际执行的SQL语句产生影响,这样就完全隔离了SQL命令和用户输入,防止了对数据库的SQL注入攻击,同时还可以大大提高SQL语句的执行效率.

(2)漏洞识别机制

漏洞识别机制是指程序员从攻击者的角度来测试程序的安全性,从而发现程序存在的漏洞并进行程序的修改.这种方法仅限于识别输入点和查询提交位置方面,而且必须手动评估是否确实是漏洞并手动更正,同时其有效性又取决于字符串分析程序的精确性,而对于结构复杂的程序,精确分析字符串本身就非常困难.

(3)防御机制

防御机制是在程序运行阶段对动态生成的查询进行检测,并识别该检测是否是攻击,如果是就拒绝提交查询,如果是合法输入,则将查询语句提交到后台数据库.

防御机制比前两项技术要复杂的多,但也有效的多.它实现了不需要人工干预的情况下全自动的防御SQL注入攻击的功能.但是该技术需要完成很多的程序转换(自动转换)工作,并在网站运行过程中进行比较操作,在发现不符合的操作时阻止该查询提交到后台数据库.因为程序运行的动态性、要求判断的实时性和对性能的要求,使得防御机制方法的实现变得非常困难.

4.总结语

随着网络技术的发展,网站安全会成为大家都会关注的问题目.同时论文范文的攻击技术也会层出不穷,原有的SQL注入攻击模式肯定和未来的SQL注入攻击模式有所不同,所以未来对SQL注入攻击的防御措施也应该有相应的提高和改进.

参考文献

刘合叶.多功能SQL注入检测系统的实现及攻击防范方法研究[D],北京:北京交通大学,2009: 1-2.

肖遥.网站入侵与脚本攻防修炼[M].北京:电子工业出版社,2008:56-60.

许龙非,李国和,马玉书.Web数据库技术与应用[M].北京:科学技术出版社,2005.

周学广,等,信息安全学(第2版)[M] 北京:机械工业出版社,2007.

总结:本论文可用于注入攻击论文范文参考下载,注入攻击相关论文写作参考研究。

sql注入攻击引用文献:

[1] sql注入本科论文开题报告范文 sql注入方面自考毕业论文范文2000字
[2] 纵深攻击的前世今生论文范文 关于纵深攻击的前世今生相关本科论文开题报告范文5000字
[3] 疫情和网络攻击专科毕业论文范文 疫情和网络攻击类有关在职研究生论文范文2万字
《针对ASP程序的SQL注入攻击概念防范方法》word下载【免费】
sql注入攻击相关论文范文资料