正文內(nèi)容

sql注入攻擊漏洞研究與防范措施論文正稿(編輯修改稿)

2024-07-21 07:01 本頁面

　

【文章內(nèi)容簡介】 ername’,’password’, ’type’) values ( ’hacker’, ’pass123456’, ’ 管理員’) ，然后攻擊者就可以直接用剛才建立的帳戶進行登錄了。通過這樣的方法，攻擊者還可以對系統(tǒng)做任何的事情，包括增加、修改、刪除記錄。（3）執(zhí)行系統(tǒng)命令如果Web主機使用MSSQL數(shù)據(jù)庫系統(tǒng)，而list. asp中存在注入點，那么攻擊者就可以用到xp_cmdshell這個擴展存儲過程，xp_cmdshell是一個非常有用的擴展存儲過程，用于執(zhí)行系統(tǒng)命令，比如dir，net等，攻擊者可以根據(jù)程序的不同，提交不同的語句:://w ww. XXX. ? id= 1。 ? exec?? ’dir’://. XXX. ? id= 1。 ? exec?? ’dir’或者可以插入下面的語句net user hacker /addnet localgroup administrators hacker /add來向Web主機系統(tǒng)中加入一個非法的管理員帳號，不過這樣的做法必須同時滿足幾個條件，首先ASP使用的SQLSERV ER 帳號必須是管理員，其次請求的提交變量在整個SQL語句的最后，否則構(gòu)造出來的SQL語句在語法上是錯誤的，也就不可能執(zhí)行成功。2. SQL注入攻擊的檢測方式及方法2. 1檢測方式SQL注入攻擊檢測分為入侵前的檢測和入侵后的檢測。入侵前的檢測，可以通過手工方式，也可以使用SQL注入工具軟件。檢測的目的是為預(yù)防SQL注入攻擊，而對于SQL注入攻擊后的檢測，主要是針對日志的檢測，SQL注入攻擊成功后，會在IIS日志和數(shù)據(jù)庫中留下“痕跡”。2. 2檢測方法（1）輸入驗證檢查動態(tài)的SQL語句是一個進行數(shù)據(jù)庫查詢的強大的工具，但把它和用戶輸入混合在一起就使SQL注入成為了可能。將動態(tài)的SQL語句替換成預(yù)編譯的SQL或者存儲過程對大多數(shù)應(yīng)用程序是可行的。預(yù)編譯的SQL或者存儲過程可以將用戶的輸入作為參數(shù)而不是SQL命令來接收，這樣就限制了入侵者的行動。當然，它不適用于存儲過程中利用用戶輸入來生成SQL命令的情況。在這種情況下，用戶輸入的SQL命令仍可能得到執(zhí)行，數(shù)據(jù)庫仍然有受SQL注入攻擊的危險。如果一個輸入框只可能包括數(shù)字，那么要通過驗證確保用戶輸入的都是數(shù)字。如果可以接受字母，那就要檢查是不是存在不可接受的字符。確保應(yīng)用程序要檢查以下字符：分號、等號、破折號、括號以及SQL關(guān)鍵字。（2）數(shù)據(jù)檢查使用HDSI、NBSI和Domain等SQL注入攻擊軟件工具進行SQL注入攻擊后，都會在數(shù)據(jù)庫中生成一些臨時表。通過查看數(shù)據(jù)庫中最近新建的表的結(jié)構(gòu)和內(nèi)容，可以判斷是否曾經(jīng)發(fā)生過SQL注入攻擊。（3）日志檢查在Web服務(wù)器中如果啟用了日志記錄，則IIS日志會記錄訪問者的IP地址，訪問文件等信息，SQL注入攻擊往往會大量訪問某一個頁面文件（存在SQL注入點的動態(tài)網(wǎng)頁），日志文件會急劇增加，通過查看日志文件的大小以及日志文件中的內(nèi)容，也可以判斷是否發(fā)生過SQL注入攻擊。（4）其他SQL注入攻擊成功后，入侵者往往會添加用戶、開放3389遠程終端服務(wù)以及安裝木馬后門等，可以通過查看系統(tǒng)管理員賬號、遠程終端服務(wù)器開啟情況、系統(tǒng)最近日期產(chǎn)生的一些文件等信息來判斷是否發(fā)生過入侵。3. SQL注入攻擊防范模型及措施3. 1 防范模型在前人提出的SQL注入攻擊的檢測/防御/備案模型基礎(chǔ)上，本人進行了檢測過程的優(yōu)化，提出了一種SQL自動防范模型如圖1所示，本模型中所有檢測都在服務(wù)器端進行。首先對IP地址進行檢測，如果該IP地址在SQL注入攻擊庫中，則禁止該用戶的訪問，并再次將相關(guān)信息添加到SQL注入攻擊庫中；如果用戶是首次訪問，則對提交字符進行檢測，如果是非法字符，則檢測是否達到規(guī)定的訪問值，如果達到則禁止用戶訪問，同時發(fā)送郵件給系統(tǒng)管理員。本模型可以防止攻擊者窮舉攻擊并可自由設(shè)置攻擊次數(shù)的上限，一旦到達上限，系統(tǒng)將自動發(fā)送郵件給管理員，管理員收到郵件后可以進行相應(yīng)的處理，如果條件允許，還可以增加短信發(fā)送，增強SQL注入攻擊的自動防范能力?？蛻舳颂峤恍畔⒎?wù)器檢測Sql注入庫中檢測I

點擊復(fù)制文檔內(nèi)容

環(huán)評公示相關(guān)推薦

開發(fā)代碼安全規(guī)范-防sql注入和xss跨站攻擊代碼編寫規(guī)范-資料下載頁

【總結(jié)】編號：BFG【2015】I：第021-1號開發(fā)代碼安全規(guī)范防SQL注入和XSS跨站攻擊代碼編寫規(guī)范修訂歷史版本發(fā)布日期作者審核者改版記錄2015-12-01正式版目錄概述 2適用范圍 2一、第一類漏洞類型-SQL注入（SQLINJECTION

2024-08-02 16:17

論權(quán)力腐敗的防范措施畢業(yè)論文-資料下載頁

【總結(jié)】XXXX大學(xué)行政管理?？飘厴I(yè)論文題目：論權(quán)力腐敗的防范措施姓名：

2025-06-28 20:39

護理安全與防范措施(2)-資料下載頁

【總結(jié)】護理安全與防范措施鹽城市中醫(yī)院朱銀萍隨著人們對自我保健意識的不斷提高，越來越多的人開始意識到在就醫(yī)過程中維護自身的權(quán)益，安全護理就成為當務(wù)之急。任何疏忽大意輕則加重病人經(jīng)濟支出，增加肉體痛苦或延長病程，重則致殘、致死，都可能釀成嚴重的后果，帶來終身的遺憾。所以說安全護理與病人的生命息息

2025-05-26 12:05

預(yù)算松弛的成因與防范措施-資料下載頁

【總結(jié)】n更多企業(yè)學(xué)院：《中小企業(yè)管理全能版》183套講座+89700份資料《總經(jīng)理、高層管理》49套講座+16388份資料《中層管理學(xué)院》46套講座+6020份資料?《國學(xué)智慧、易經(jīng)》46套講座《人力資源學(xué)院》56套講座+27123份資料《各階段員工培訓(xùn)學(xué)院》77套講座+324份資料

2025-06-29 06:39

建筑施工風(fēng)險管理與防范措施-資料下載頁

【總結(jié)】I/47四川理工學(xué)院畢業(yè)設(shè)計（論文）建筑施工風(fēng)險管理與防范措施學(xué)生：學(xué)號：專業(yè)：工程造價班級：指導(dǎo)教師：四川理工學(xué)院建筑工程學(xué)院二○一四年三月II/47摘要工程風(fēng)險貫穿于工程建設(shè)的全過程之中,工程風(fēng)險的防范

2025-04-18 08:00

華山環(huán)安全技術(shù)與防范措施-資料下載頁

【總結(jié)】安全技術(shù)與防范措施一、安全生產(chǎn)目標本工程的安全生產(chǎn)目標:實現(xiàn)工程施工全過程“六無”:即無死亡、無重傷、無倒塌、無中毒、無爆炸、無重大機械交通事故;%以下,爭取市“安全樣板工地”.二、安全保證體系1、安全生產(chǎn)組織機構(gòu)設(shè)立項目工地安全生產(chǎn)領(lǐng)導(dǎo)小組,項目設(shè)專職安全員、班組設(shè)兼職安全員,專、兼職安全員有職有責(zé),嚴格管理.2、安全生產(chǎn)保證體系圖見圖7-1

2024-07-22 21:44

護理安全管理與防范措施-資料下載頁

【總結(jié)】第一篇：護理安全管理與防范措施護理安全管理與防范措施護理工作是醫(yī)療工作的主要組成部分，護理安全問題不容忽視，在護理工作中如何規(guī)范護理行為，提高護理質(zhì)量，消除不安全的護理隱患，保障患者的生命安全...

2024-10-10 18:25

房地產(chǎn)企業(yè)的財務(wù)風(fēng)險及其防范措施研究畢業(yè)論文-資料下載頁

【總結(jié)】目錄摘要 I英文摘要 II 21．1研究背景及意義 2 31．3研究方法 51．4研究的內(nèi)容與框架 51．4．1研究的基本內(nèi)容 51．4．2研究的框架 6 72．1國外房地產(chǎn)業(yè)現(xiàn)狀 72．2國內(nèi)房地產(chǎn)業(yè)現(xiàn)狀 9 143．1房地產(chǎn)企業(yè)財務(wù)風(fēng)險的產(chǎn)生環(huán)節(jié) 143．2融資風(fēng)險分析 153．2．1房地產(chǎn)企業(yè)的籌資現(xiàn)狀 153．2

2025-06-21 23:43

我國農(nóng)產(chǎn)品市場風(fēng)險的形成與防范措施研究-資料下載頁

【總結(jié)】......我國農(nóng)產(chǎn)品市場風(fēng)險的形成及防范措施研究全國農(nóng)業(yè)展覽館王雅楠農(nóng)產(chǎn)品市場風(fēng)險主要是指農(nóng)產(chǎn)品在通過市場轉(zhuǎn)化為商品的過程中，由于市場行情的變化、消費者需求轉(zhuǎn)移、經(jīng)濟政策改變等不確定因素引起的實際收益與預(yù)期收益發(fā)生偏

2025-06-28 18:51

營銷風(fēng)險及防范措施-資料下載頁

【總結(jié)】I淺議光明乳業(yè)的營銷風(fēng)險及防范措施ANANALYSISOFBRIGHTDAIRY'SMARKETINGRISKSANDPREVENTIVEMEASURESII摘要國際金融危機深刻地影響著世界實體經(jīng)濟，很多企業(yè)甚至是世界知名跨國公司，如美國的汽車三巨頭，都由于

2024-12-04 08:48

招聘風(fēng)險及其防范措施-資料下載頁

【總結(jié)】1摘要21世紀是知識經(jīng)濟作為主導(dǎo)的時代，人才作為承載著重要知識和技能的載體，其重要性和稀缺性日益增加。企業(yè)要想持續(xù)獲得發(fā)展，必須不斷地吸收和發(fā)展人才，因此人力資源管理職能在企業(yè)管理體系當中占據(jù)著重要的地位，并且逐漸上升為戰(zhàn)略性的高度。在人力資源管理的重要職能中，招聘決定著企業(yè)員工數(shù)量、質(zhì)量的

2024-12-06 02:06

小區(qū)安全防范措施-資料下載頁

【總結(jié)】小區(qū)安全防范措施　　第一章總則　　第一條為切實加強和規(guī)范物業(yè)管理小區(qū)公共區(qū)域安全防范工作，預(yù)防和減少可防性案件和治安災(zāi)害事故的發(fā)生，確保物業(yè)管理小區(qū)公共區(qū)域的安全，根據(jù)國務(wù)院、省、市《物業(yè)管理...

2024-12-07 04:09

02命令執(zhí)行代碼注入漏洞-資料下載頁

【總結(jié)】命令執(zhí)行/代碼注入漏洞王朋濤深信服北京安全團隊/代碼注入漏洞概述/代碼注入漏洞分類介紹/代碼注入漏洞挖掘方法/代碼注入漏洞攻擊防御培訓(xùn)提綱命令執(zhí)行/代碼注入漏洞概述命令執(zhí)行/代碼注入漏洞概述?命令執(zhí)行/代碼注入漏洞的出現(xiàn)應(yīng)用程序直接/間接使用了動態(tài)執(zhí)行命令的危險函數(shù)，并且這個

2025-03-10 00:19

崗位風(fēng)險及防范措施-資料下載頁

【總結(jié)】風(fēng)險危害識別與控制措施1、風(fēng)險控制的基本過程:識別評估防治措施補救找出施工作業(yè)過程中可能造成事故的危險因素。對危險因素可能導(dǎo)致的人員、財產(chǎn)、環(huán)境和聲譽的危害程度進行評估。找出危害因素可能造成事故的防治措施。一旦危害發(fā)生，將危害降到最低程度的補救措施。2、

2025-06-25 21:52