简介:关于本文可作为相关专业攻击注入论文写作研究的大学硕士与本科毕业论文攻击注入论文开题报告范文和职称论文参考文献资料。
1.SQL注入攻击分析
SQL注入攻击是指攻击人员故意从客户端提交特殊的混有SQL语句的输入,使这些SQL语句能够混入到系统要执行的正常SQL语句中以执行,以获取敏感信息及破换数据库,甚至控制服务器的攻击方法.由于SQL注入攻击利用的是合法的SQL语法,使得这种攻击不能被防火墙检测出来,具有难捕获性;并且从理论上说对所有基于SQL语言标准的数据库都适用,例如MS SQL Server、Oracle,DB2、Sybase等等,具有广泛性.
举例来说,假设存在一个http.//www.mysite.com/News/details.asp id等于202的web页,id是查询参数,网页程序根据id来显示某条新闻的内容.在asp程序中,程序员用如下的SQL语句和程序从数据库检索新闻内容:sqlString等于“select*fromnews where id等于”+id.如果id是202,那么sqlString就是“select*from newswhere id等于202”,网页程序会正常运行.但是,我们把id等于202换成了id等于202,dropdatabase pubs,那么sqlString就变成了“select*from news where id等于202, dropdatabase pubs”,程序执行的结果是不仅检索出了内容,还会删除数据库pubs,造成严重的问题.
一般论文范文进行SQL注入攻击的步骤为:寻找漏洞注入点一判断后台数据库类型一确定攻击方案一发现Web虚拟目录一上传ASP木马一得到管理员权限.
2.预防方法研究
SQL注入攻击的本质在于论文范文利用了程序的漏洞,而危害的程度则不仅依赖于程序漏洞的大小,还与数据库设置有关,因此我们应该从程序和数据库两方面来主动防御SQL注入攻击,做到堵住漏洞和即使漏洞发生也使损失达到最小的目的.
首先,在程序编写上,我们可以采取如下的措施:
①尽量使用类型安全(type-safe)的参数加码机制.大多数的数据API,包括ADO和ADO.NET和JDBC,都有这样的支持,允许你指定所提供的参数的确切类型(譬如:字符串、整数、日期等),可以保证这些参数被恰当地编码了,来避免论文范文利用它们. ②对用户输入进行验证和替换.用户输入是SQL攻击的源头,对用户输入进行验证可以有效防止大多数SQL注入攻击.方法是使用一定的SQL敏感关键字检验函数对用户输入进行检测,如果发现了诸如DROP、Truncate等敏感字符串时阻止SQL语句的执行或者加以替换.例如,我们可以构造如下的函数来检测用户的输入,如果有SQL敏感字符串则用替代字符串替换.
public
StringReplaceSQLInj ection( stringstr)
sql注入攻击:对话IT:应对“丽莎月亮”SQL注入挂马攻击
{
str等于str.trim();
String
inj—str等于,|’|;|--|/*landlexeclinsertlselectldeletel-updatelcountlload_file} outfileImidl orI union”; String inj—stra[] 等于 inj_str. split("I”); St ring
rep—str 等于”,I.I j J一一I/*I and l execlinsertlselectldeletelupdatelcountlload_fileI outfileI midI orl union”, String rep_stra[] 等于rep_str.split(”I”),
for (int i等于0, i<,rep_stra.length, i++)
{
str等于str.replace (inj—stra[i],rep_stra [i]),)return str,
)
③必要时对网页的查询字符串进行加密处理.
网页的查询字符串是SQL注入攻击的重要攻击点,也是最容易被发现和经常被利用的地方.如果对查询字符串进行单向加密,则因为论文范文很难判断到加密的算法和密钥,因此难以构造正确的攻击代码.比如,可以对网页中传递的查询字符串进行MD5加密,因为MD5加密是单向的.且可以自己设定密钥,论文范文很难论文范文加密后的字符串是什么类型,更难知道密钥是什么,因此在查询字符串中加入SQL攻击代码是几乎不可能的. ④千万别把敏感性数据在数据库里以明文存放.
论文范文攻击网站程序的重要目的之一就是窃取网站后台数据库里的敏感数据,如论文范文、论文范文卡号/论文范文等.如果对这些数据进行加密,即使网站被攻破,论文范文也只能窃取加密后的数据,无法解密. 其次,我们应该针对数据库服务器进行一些必要的设置,防止论文范文获得高的数据库权限,防止数据库启动危险的服务器进程、服务等.具体来说,有如下的措施:
①锁定数据库的安全,只给访问数据库的web应用程序所需的最低的权限. 如果web应用不需要访问某些表,那么确认它没有访问这些表的权限.如果web应用只需要只读的权限从account表来生成报表,那么确认禁止它对此表的insert/update/delete的权限.
②删除用不到或者很少使用的扩展存储过程
对帐号调用扩展存储过程的权限要慎重,因为很多的系统存储过程很容易用来进行提升权限或者进行破坏.例如,xp—cmcLshell是进入操作系统的最佳途径,是数据库留给操作系统的一个大后门,利用这个存储过程可以调用Windows CMD进程执行Windows脚本,执行添加用户、更改权限等危险的操作.如果不需要这些扩展存储过程,应该把它们删除掉.
目前针对SQL注入攻击已经有一些自动检测工具和攻击工具,使得普通用户也能实施SQL注入,网站建设者需要对SQL注入攻击有足够的认识.但是,如果网站设计者能够了解SQL注入攻击的原理,采取正确的应对措施,防患于未然.是可以有效避免的.
总结:本文是一篇攻击注入论文范文,可作为选题参考。
sql注入攻击引用文献:
[1] sql注入本科论文开题报告范文 sql注入方面自考毕业论文范文2000字
[2] 纵深攻击的前世今生论文范文 关于纵深攻击的前世今生相关本科论文开题报告范文5000字
[3] 疫情和网络攻击专科毕业论文范文 疫情和网络攻击类有关在职研究生论文范文2万字
