CN101312393A - 一种sql注入漏洞检测方法及系统 - Google Patents
一种sql注入漏洞检测方法及系统 Download PDFInfo
- Publication number
- CN101312393A CN101312393A CNA2007100995344A CN200710099534A CN101312393A CN 101312393 A CN101312393 A CN 101312393A CN A2007100995344 A CNA2007100995344 A CN A2007100995344A CN 200710099534 A CN200710099534 A CN 200710099534A CN 101312393 A CN101312393 A CN 101312393A
- Authority
- CN
- China
- Prior art keywords
- sql injection
- webpage
- verified
- template
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种作为网络安全的重要产品之一的主机脆弱性扫描系统的关键技术——SQL注入漏洞检测技术。特征是向服务器提交正常的访问请求数据和不同类型的SQL注入数据,接收服务器的返回结果,然后交叉比较不同请求的返回结果,并根据比较结果判断服务器对提交数据的处理是否存在SQL注入漏洞。可以通过网页爬虫方式、浏览器插件方式和手工输入方式定义待验证的网页地址。可以从四种不同类型的攻击模板中选择一个或多个模板,检测待验证网页上是否存在SQL注入漏洞。可以在服务器屏蔽错误信息的情况下,通过交叉比较正常访问请求和SQL注入语句的返回结果,判断服务器对用户提交数据的处理是否存在SQL注入漏洞。
Description
技术领域
本发明涉及一种SQL(Structured Query Language)注入漏洞检测方法及系统,是一种电数字数据处理,阻止越权使用的保护方法及系统,应用于网络系统中,属于一种作为网络安全重要产品之一的主机脆弱性扫描系统的关键技术。
背景技术
随着Internet的发展,客户端/服务器(B/S)模式得到了越来越广泛的应用。B/S模式中经常出现用户与后台数据库服务器之间进行数据交互的地方,即用户在客户端的网页上通过表单输入并提交数据,服务端的应用程序根据用户提交的数据构造SQL语句,提交到数据库服务器进行处理,并向用户返回处理结果。在开发B/S模式的应用程序时,许多开发者忽略了对用户输入数据的合法性进行判断,使应用程序存在安全隐患。攻击者可以提交一段数据库查询代码,根据程序返回的结果,窃取某些他想得知的数据,这就是SQL注入(SQLInjection)攻击技术,攻击者所利用的网页漏洞称为SQL注入漏洞。
目前的主机脆弱性扫描系统主要关注目标主机在TCP/IP端口的分配、开放的服务、服务软件版本和这些服务及软件呈现在Internet上的安全漏洞,较少关注该网站某个具体网页上的SQL注入漏洞。之前也有关于SQL注入漏洞检测的技术和工具,主要有以下两种运行方式:
1.通过精心构造特殊的访问请求去尝试引起数据库服务器运行出错,根据服务器返回的状态码(status code)判断其运行是否出错,从服务器返回的错误提示信息中获取感兴趣的内容。
2.首先制订关键字列表,然后构造特殊的SQL注入攻击语句并提交到数据库服务器,根据服务器返回的内容和关键字列表判断服务器运行是否出错,若出错则存在SQL注入漏洞。
但这两种检测技术存在以下局限性:
1.依靠服务器返回状态码来判断是否存在漏洞的方法过于简单,而且当服务器端通过自定义错误信息屏蔽运行错误提示时,将不能进行正常判断,从而导致漏报。
2.通过关键字来判断服务器运行是否出错的方法不够准确,当服务器运行正常,但返回网页恰好出现了预定义的关键字,或者服务器运行出错,但设定的返回内容不包括预定义的关键字时,都不能进行准确的判断,从而导致漏报和误报。
发明内容
为克服现有技术的缺点,本发明提出一种针对HTTP(Hyper Text TransferProtoco1)服务器上的SQL注入漏洞进行检测的方法和系统。所述的方法首先向服务器提交正常的访问请求数据和不同类型的SQL注入数据,接收服务器的返回结果,然后交叉比较不同请求的返回结果,并根据比较结果判断服务器对提交数据的处理是否存在SQL注入漏洞。并根据这种方法设计了安装在网络用户终端的系统实现了对SQL注入漏洞的简便、有效的检测。
本发明的目的是这样实现的:
一种SQL注入漏洞检测方法,包括:待验证网页定义单元、SQL注入攻击模板选择单元、交叉验证单元,其特征在于所述的步骤:
①待验证网页定义单元设置待验证网页;
②判断是否所有网页都处理完毕,是则结束,否则转步骤③;
③提取一个尚未处理网页;
④在SQL注入攻击模板选择单元中选择攻击模板;
⑤依据该网页的攻击模板,构造SQL注入攻击语句,并提交到服务器;
⑥在交叉比较单元中对服务器返回的结果集进行交叉验证,然后转步骤②。
一种SQL注入漏洞检测系统,所述系统安装在互联网的用户终端上,其特征在于,至少有一个与网络服务器连接的待验证网页定义单元;至少有一个与待验证网页定义单元连接,可以提供四种攻击模板子单元的SQL注入攻击模板选择单元,至少有一个从SQL注入攻击模板选择单元获得支持并与网络服务器连接的交叉验证单元。
本发明产生的有益效果是:
1.可以实现对整个网站所有网页SQL注入漏洞的自动扫描。例如,用户可以首先通过待验证网页定义单元的网页爬虫程序对网站进行扫描,提取出所有包含表单项的网页,然后验证这些网页上是否存在注入漏洞。
2.可以在服务器屏蔽运行错误提示的情况下进行SQL注入漏洞检测,避免了因无法获取服务器返回的运行错误的状态码而导致漏报。
3.无需制订服务器运行错误关键字列表,即可判断服务器的运行是否出错,避免了因关键字列表不准确、不完备导致的误报和漏报。
4.可以根据不同网页内容,由用户选择不同的注入攻击模板,提高了SQL注入漏洞检测的效率和准确性。
附图说明
下面结合附图和实施例对本发明作进一步说明。
图1为SQL注入漏洞检测方法运行示意图;
图2为交叉验证方法运行示意图;
图3为SQL注入漏洞检测系统结构示意图。
具体实施方式
实施例一:
本实施例为SQL注入漏洞检测方法的具体实时方式,主要运行过程如图1所示。本实施例的基本思路是:它提供了一系列SQL注入攻击模板,其中每个模板都由数个可能导致服务器返回不同结果的SQL注入语句、该模板对应的交叉验证函数组成。对于服务器上每个待扫描的网页,本SQL注入漏洞检测系统都会根据选定的模板,向该网页发送正常SQL访问请求、特定SQL注入语句,并接收服务器的返回结果。由于每个访问请求都是事先构造的,若这些访问请求能够在服务器上执行,将会返回不同的返回结果。交叉验证函数通过相互比较这些返回结果,判断提交的SQL注入语句是否在服务器上得到了执行。若验证的结果表明这些SQL注入语句已被服务器执行,即可断定服务器上的应用程序对用户提交数据的处理存在SQL注入漏洞。本实施例所涉及的硬件包括:互联网、区域网、局域网、网络中提供各种网页的服务器、用户终端等等与网络有关的设施。在用户终端中安装了SQL注入漏洞检测系统,该系统中包括:待验证网页定义单元、SQL注入攻击模板选择单元、交叉验证单元。
本实施例的具体过程是:
(1)设置待验证网页;
(2)判断是否所有网页都处理完毕,是则结束,否则转步骤3;
(3)提取一个尚未处理的网页;
(4)依据该网页的攻击模板,构 造SQL注入攻击语句,并提交到服务器;
(5)对服务器返回的结果集进行交叉验证,然后转步骤2。
设置待验证网页的过程是选择要验证的网页,通常需要验证的网页有三种情况:验证所有的网页;验证一些有特殊属性的网页;用户特定的网页。或可以解释为自动、半自动、手动设置三种,对应这三种情况设置待验证网页有三种方法:
1.通过网页爬虫程序检测目标网站的所有网页,抽取包含表单内容和需要提交Cookie(服务器传送到客户端本地的小的数据文件)的网页,构成待验证网页链表。这是因为SQL注入漏洞一般存在于处理用户提交的表单数据或客户端提交的Cookie数据的程序中,因此通常情况下需要验证含有表单内容的网页。这是一种自动设置网页的方法。
2.提供浏览器插件,用户在浏览器插件中手动点击待验证的网页,后台处理程序抽取包含表单内容和需要提交Cookie的网页,构成待验证网页链表。这是一种半自动设置网页的方法。
3.由用户手工输入待验证的网页。用户能够添加可能存在SQL注入漏洞的网页,并能修改和删除网页爬虫程序的结果。这是手动设置网页的方法。
依据设定的网页的在数据库中提起相应的攻击模板,攻击模板有四种不同的攻击模板:选择模板、插入模板、修改模板和删除模板,每个模板由针对该种操作的SQL注入攻击模式、返回结果交叉验证函数组成。
交叉验证是本实施例的关键部分,用以判断待验证网页上是否存在SQL注入漏洞。交叉验证方法,如图2所示:
①向待验证网页提交正常的访问数据,并接收返回结果;
②判断当前攻击模板中是否存在尚未使用的SQL注入模式,是则转步骤③,否则转步骤⑥;
③从当前攻击模板中提取一个尚未使用的SQL注入模式,将其附加在步骤①中的正常访问数据后面,构成SQL注入访问语句并提交至服务器;
④判断服务器的返回状态码是否正常,是则转步骤⑤,否则转步骤⑧;
⑤保存服务器的返回内容,转步骤②;
⑥调用该攻击模板中的交叉验证函数,对服务器的正常返回结果和异常返回结果进行交叉比较;
⑦根据交叉比较的结果判断步骤③中构造的SQL注入访问语句是否在服务器上被执行,是则转步骤⑧,否则转步骤⑨;
⑧判定待验证网页存在SQL注入漏洞,转步骤⑩;
⑨判定待验证网页不存在SQL注入漏洞,转步骤⑩;
⑩结束对待验证网页的验证过程。
SQL注入漏洞检测交叉验证方法举例:
我们定义待验证的网页地址为http://192.168.0.1/page1.asp,该网页上存在表单1,需要用户输入一个字符串并提交。则:
(1)设置SQL注入攻击模板为SELECT型模板,该模板包含三种攻击模式和一个交叉验证函数。
(2)输入正常的数据并提交,可以看到客户端向服务器提交了如下访问请求:http://192.168.0.1/page2.asp?para=abc。保存服务器的返回结果。
(3)交叉验证模块从SELECT型模板中提取第一个攻击模式:“’or 1=”,附加在步骤2中的正常请求后面,构成一个SQL注入攻击语句:“http://192.168.0.1/page2.asp?para=abc’or+1=”,该注入攻击语句可能会被服务器执行,也可能会被服务器检测到并过滤。若在服务器上执行,将引起服务器运行错误,服务器可能会返回错误信息,也可能通过屏蔽错误信息返回其他内容。若服务器返回错误信息,则判定该网页存在SQL注入漏洞,结束判断过程;若未返回错误信息,则保存服务器返回结果,继续执行后续操作。
(4)交叉验证模块从SELECT型模板中提取第二个攻击模式:“’or 1=1--”,附加在步骤2中的正常请求后面,构成一个SQL注入攻击语句:“http://192.168.0.1/page2.asp?para=abc’or+1=1+--”,该注入攻击语句若在服务器上执行,将不引起服务器运行错误。保存服务器返回结果。
(5)交叉验证模块从SELECT型模板中提取第三个攻击模式:“’or 1 !=1--”,附加在步骤2中的正常请求后面,构成一个SQL注入攻击语句:“http://192.168.0.1/page2.asp?para=abc’or+1 !=1+--”,该注入攻击语句若在服务器上执行,将不引起服务器运行错误,但返回结果不同于步骤4的返回结果。
(6)SELECT型攻击模板的交叉验证函数比较步骤2~5的返回结果,因为我们提交的SQL注入攻击语句会触发服务器返回不同的返回结果,所以通过比较这些返回结果是否相同,即可判断这些SQL注入攻击语句是否在服务器上被执行。若被执行则表明服务器对用户提交数据的处理存在SQL注入漏洞,判断过程结束。
实施例二:
本实施例是实现实施例所述方法的系统,系统结构示意图见图1所示。即一种SQL注入漏洞检测系统,所述系统安装在互联网的用户终端上,至少有一个与网络服务器连接的待验证网页定义单元。至少有一个与待验证网页定义单元连接,可以提供四种攻击模板子单元的SQL注入攻击模板选择单元。至少有一个从SQL注入攻击模板选择单元获得支持并与网络服务器连接的交叉验证单元。该系统包括:
1.待验证网页定义单元:定义一系列可能包含SQL注入漏洞的网页地址。
2.SQL注入攻击模板选择单元:列出可用的SQL注入攻击模板,供用户进行选择。
3.交叉比较单元:根据用户选定的模板,对待验证网页发送不同的访问数据,通过相互比较几个返回结果判断该网页上是否存在注入漏洞。基本思路与实施例相似:一种作为网络安全的重要产品之一的主机脆弱性扫描系统的关键技术——SQL注入漏洞检测技术。系统的待验证网页定义单元和SQL注入攻击模板选择单元向服务器提交正常的访问请求数据和不同类型的SQL注入数据,接收服务器的返回结果。然后交叉验证单元交叉比较不同请求的返回结果,并根据比较结果判断服务器对提交数据的处理是否存在SQL注入漏洞。可以交叉验证单元通过网页爬虫方式、浏览器插件方式和手工输入方式定义待验证的网页地址。SQL注入攻击模板选择单元从四种不同类型的攻击模板中选择一个或多个模板,检测待验证网页上是否存在SQL注入漏洞。可以在服务器屏蔽错误信息的情况下,交叉验证单元通过交叉比较正常访问请求和SQL注入语句的返回结果,判断服务器对用户提交数据的处理是否存在SQL注入漏洞。
下面对各个功能单元进行详细的说明。
待验证网页定义单元:
该单元定义了一系列可能包含SQL注入漏洞的网页地址。待验证网页定义单元包含有三个子单元用以不同情况下应对用户的不同需要:
①通过网页爬虫程序检测目标构成待验证网页链表个子单元;
②通过浏览器插件中手动点击待验证的网页构成待验证网页链表子单元;
③用户手工输入待验证的网页的界面子单元。
SQL注入攻击模板选择单元:
四种攻击模板子单元是:选择模板子单元、插入模板子单元、修改模板子单元和删除模板子单元,每个子单元由针对该种操作的SQL注入攻击模式、返回结果交叉验证函数组成。
这里提供四种SQL注入攻击模板,与服务端对用户提交数据的处理有关。在B/S模式中,服务端的数据库系统对记录的处理可分为四种操作方式:选择、插入、修改和删除。在与数据库进行数据交互时,对用户提交的表单数据,服务器上的处理程序会提取相关内容构造SQL语句,而构造后的SQL语句将被用于执行四种操作方式中的一种。对于数据库不同的操作方式,用于实现SQL注入攻击的语句也不相同,因此本实施例提供了四种不同的攻击模板:选择模板、插入模板、修改模板和删除模板,每个模板由针对该种操作的SQL注入攻击模式、返回结果交叉验证函数组成。用户可根据当前的表单内容选择相应的模板。如果用户不了解服务器对所提交的表单数据进行了何种操作,可以选择多个或全部攻击模板进行逐一验证。
交叉验证单元包含的子单元:
向待验证网页提交正常的访问数据,并接收返回结果子单元;
判断当前攻击模板中是否存在尚未使用的SQL注入模式子单元;
从当前攻击模板中提取一个尚未使用的SQL注入模式,将其附加在正常的访问数据后构成SQL注入访问语句并提交至服务器子单元;
判断服务器的返回状态码是否正常子单元;
保存服务器的返回内容子单元;
调用该攻击模板中的交叉验证函数,对服务器的正常返回结果和异常返回结果进行交叉比较子单元;
根据交叉比较的结果判断子单元;
判定待验证网页存在SQL注入漏洞子单元;
判定待验证网页不存在SQL注入漏洞子单元。
Claims (8)
1.一种SQL注入漏洞检测方法,包括:待验证网页定义单元、SQL注入攻击模板选择单元、交叉验证单元,其特征在于所述的步骤:
①待验证网页定义单元设置待验证网页;
②判断是否所有网页都处理完毕,是则结束,否则转步骤③;
③提取一个尚未处理网页;
④在SQL注入攻击模板选择单元中选择攻击模板;
⑤依据该网页的攻击模板,构造SQL注入攻击语句,并提交到服务器;
⑥在交叉比较单元中对服务器返回的结果集进行交叉验证,然后转步骤②。
2.根据权利要求1所述的一种SQL注入漏洞检测方法,其特征在于所述的设置待验证网页的三种方法:
①通过网页爬虫程序检测目标网站的所有网页,抽取包含表单内容和需要提交Cookie的网页,构成待验证网页链表;
②提供浏览器插件,用户在浏览器插件中手动点击待验证的网页,后台处理程序抽取包含表单内容和需要提交Cookie的网页,构成待验证网页链表;
③用户手工输入待验证的网页。
3.根据权利要求1或2所述的一种SQL注入漏洞检测方法,其特征在于所述的攻击模板有四种不同的攻击模板:选择模板、插入模板、修改模板和删除模板,每个模板由针对该种操作的SQL注入攻击模式、返回结果交叉验证函数组成。
4.根据权利要求3所述的一种SQL注入漏洞检测方法,其特征在于所述的交叉验证方法的步骤:
①向待验证网页提交正常的访问数据,并接收返回结果;
②判断当前攻击模板中是否存在尚未使用的SQL注入模式,是则转步骤③,否则转步骤⑥;
③从当前攻击模板中提取一个尚未使用的SQL注入模式,将其附加在步骤①中的正常访问数据后面,构成SQL注入访问语句并提交至服务器;
④判断服务器的返回状态码是否正常,是则转步骤⑤,否则转步骤⑧;
⑤保存服务器的返回内容,转步骤②;
⑥调用该攻击模板中的交叉验证函数,对服务器的正常返回结果和异常返回结果进行交叉比较;
⑦根据交叉比较的结果判断步骤③中构造的SQL注入访问语句是否在服务器上被执行,是则转步骤⑧,否则转步骤⑨;
⑧判定待验证网页存在SQL注入漏洞,转步骤⑩;
⑨判定待验证网页不存在SQL注入漏洞,转步骤⑩;
⑩结束对待验证网页的验证过程。
5.一种SQL注入漏洞检测系统,所述系统安装在互联网的用户终端上,其特征在于,至少有一个与网络服务器连接的待验证网页定义单元;至少有一个与待验证网页定义单元连接,可以提供四种攻击模板子单元的SQL注入攻击模板选择单元,至少有一个从SQL注入攻击模板选择单元获得支持并与网络服务器连接的交叉验证单元。
6.根据权利要求5所述的一种SQL注入漏洞检测系统,其特征在于,所述的待验证网页定义单元包含有三个子单元:
①通过网页爬虫程序检测目标构成待验证网页链表个子单元;
②通过浏览器插件中手动点击待验证的网页构成待验证网页链表子单元;
③用户手工输入待验证的网页的界面子单元。
7.根据权利要求5所述的一种SQL注入漏洞检测系统,其特征在于,所述的四种攻击模板子单元是:选择模板子单元、插入模板子单元、修改模板子单元和删除模板子单元,每个子单元由针对该种操作的SQL注入攻击模式、返回结果交叉验证函数组成。
8.根据权利要求5所述的一种SQL注入漏洞检测系统,其特征在于,所述的交叉验证单元包含的子单元:
向待验证网页提交正常的访问数据,并接收返回结果子单元;
判断当前攻击模板中是否存在尚未使用的SQL注入模式子单元;
从当前攻击模板中提取一个尚未使用的SQL注入模式,将其附加在正常的访问数据后构成SQL注入访问语句并提交至服务器子单元;
判断服务器的返回状态码是否正常子单元;
保存服务器的返回内容子单元;
调用该攻击模板中的交叉验证函数,对服务器的正常返回结果和异常返回结果进行交叉比较子单元;
根据交叉比较的结果判断子单元;
判定待验证网页存在SQL注入漏洞子单元;
判定待验证网页不存在SQL注入漏洞子单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100995344A CN101312393B (zh) | 2007-05-24 | 2007-05-24 | 一种sql注入漏洞检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100995344A CN101312393B (zh) | 2007-05-24 | 2007-05-24 | 一种sql注入漏洞检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101312393A true CN101312393A (zh) | 2008-11-26 |
| CN101312393B CN101312393B (zh) | 2011-08-31 |
Family
ID=40100827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100995344A Expired - Fee Related CN101312393B (zh) | 2007-05-24 | 2007-05-24 | 一种sql注入漏洞检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101312393B (zh) |
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101425117B (zh) * | 2008-12-09 | 2010-12-22 | 阿里巴巴集团控股有限公司 | 一种构造sql语句的方法及装置 |
| CN102136051A (zh) * | 2011-05-06 | 2011-07-27 | 南开大学 | 一种应用SGM-SQL注入模型驱动web应用渗透测试的方法 |
| CN102156832A (zh) * | 2011-03-25 | 2011-08-17 | 天津大学 | 一种Firefox扩展的安全缺陷检测方法 |
| CN102185930A (zh) * | 2011-06-09 | 2011-09-14 | 北京理工大学 | 一种sql注入漏洞检测方法 |
| CN102567546A (zh) * | 2012-01-18 | 2012-07-11 | 北京神州绿盟信息安全科技股份有限公司 | 一种sql注入检测方法及装置 |
| CN102799830A (zh) * | 2012-08-06 | 2012-11-28 | 厦门市美亚柏科信息股份有限公司 | 一种改进的sql注入漏洞检测方法 |
| CN102831345A (zh) * | 2012-07-30 | 2012-12-19 | 西北工业大学 | Sql注入漏洞检测中的注入点提取方法 |
| CN102855418A (zh) * | 2012-08-08 | 2013-01-02 | 周耕辉 | 发现Web内网代理漏洞的方法 |
| CN102970282A (zh) * | 2012-10-31 | 2013-03-13 | 北京奇虎科技有限公司 | 网站安全检测系统 |
| CN103001946A (zh) * | 2012-10-31 | 2013-03-27 | 北京奇虎科技有限公司 | 网站安全检测方法、设备和系统 |
| CN103262089A (zh) * | 2010-11-10 | 2013-08-21 | 京瓷通信系统株式会社 | 脆弱性诊断装置 |
| CN103297394A (zh) * | 2012-02-24 | 2013-09-11 | 阿里巴巴集团控股有限公司 | 网站安全检测方法和装置 |
| CN103530564A (zh) * | 2013-09-24 | 2014-01-22 | 国家电网公司 | 一种sql注入漏洞测试与验证方法及系统 |
| CN103780614A (zh) * | 2014-01-21 | 2014-05-07 | 金华比奇网络技术有限公司 | 一种基于模拟攻击扩展的sql注入漏洞挖掘方法 |
| CN104750864A (zh) * | 2015-04-16 | 2015-07-01 | 北京齐尔布莱特科技有限公司 | 一种通用文本校验方法 |
| CN105072095A (zh) * | 2015-07-20 | 2015-11-18 | 北京神州绿盟信息安全科技股份有限公司 | 一种检测sql注入漏洞的方法及装置 |
| CN106548071A (zh) * | 2016-08-09 | 2017-03-29 | 北京安天电子设备有限公司 | 一种动态检测sql注入点的方法及系统 |
| CN106897622A (zh) * | 2015-12-21 | 2017-06-27 | 北京奇虎科技有限公司 | 验证应用漏洞的方法和装置 |
| CN107347059A (zh) * | 2016-05-06 | 2017-11-14 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及检测终端 |
| CN107392027A (zh) * | 2017-07-13 | 2017-11-24 | 福建中金在线信息科技有限公司 | 一种网站漏洞测试方法、测试系统、电子设备及存储介质 |
| CN107566392A (zh) * | 2017-09-22 | 2018-01-09 | 北京知道创宇信息技术有限公司 | 一种报错型sql注入的检测方法和代理服务器 |
| CN107908965A (zh) * | 2017-11-14 | 2018-04-13 | 北京知道创宇信息技术有限公司 | 疑似sql注入类型的检测方法及装置 |
| CN108509792A (zh) * | 2017-02-23 | 2018-09-07 | 腾讯科技(深圳)有限公司 | 一种注入漏洞检测方法及装置 |
| CN108667840A (zh) * | 2018-05-11 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 注入漏洞检测方法及装置 |
| CN108875368A (zh) * | 2017-05-10 | 2018-11-23 | 北京金山云网络技术有限公司 | 一种安全检测方法、装置及系统 |
| CN109284326A (zh) * | 2018-11-26 | 2019-01-29 | 北京中创碳投科技有限公司 | 一种数据库访问方法和装置 |
| CN110995676A (zh) * | 2019-11-22 | 2020-04-10 | 苏州浪潮智能科技有限公司 | 一种语义攻击型拒绝服务漏洞检测方法 |
| CN111291070A (zh) * | 2020-01-20 | 2020-06-16 | 南京星环智能科技有限公司 | 一种异常sql检测方法、设备及介质 |
| CN111353151A (zh) * | 2020-02-27 | 2020-06-30 | 腾讯云计算(北京)有限责任公司 | 一种网络应用的漏洞检测方法和装置 |
| CN112653670A (zh) * | 2020-12-08 | 2021-04-13 | 北京大米科技有限公司 | 业务逻辑漏洞检测方法、装置、存储介质以及终端 |
| CN112738127A (zh) * | 2021-01-08 | 2021-04-30 | 西安邮电大学 | 基于Web的网站与主机漏洞检测系统及其方法 |
| CN112765611A (zh) * | 2021-01-19 | 2021-05-07 | 上海微盟企业发展有限公司 | 一种越权漏洞检测方法、装置、设备及存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7185232B1 (en) * | 2001-02-28 | 2007-02-27 | Cenzic, Inc. | Fault injection methods and apparatus |
| CN1870493A (zh) * | 2006-06-15 | 2006-11-29 | 北京华景中天信息技术有限公司 | 网站安全漏洞扫描方法 |
-
2007
- 2007-05-24 CN CN2007100995344A patent/CN101312393B/zh not_active Expired - Fee Related
Cited By (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101425117B (zh) * | 2008-12-09 | 2010-12-22 | 阿里巴巴集团控股有限公司 | 一种构造sql语句的方法及装置 |
| CN103262089A (zh) * | 2010-11-10 | 2013-08-21 | 京瓷通信系统株式会社 | 脆弱性诊断装置 |
| CN103262089B (zh) * | 2010-11-10 | 2016-02-24 | 京瓷通信系统株式会社 | 脆弱性诊断装置 |
| CN102156832A (zh) * | 2011-03-25 | 2011-08-17 | 天津大学 | 一种Firefox扩展的安全缺陷检测方法 |
| CN102156832B (zh) * | 2011-03-25 | 2012-09-05 | 天津大学 | 一种Firefox扩展的安全缺陷检测方法 |
| CN102136051A (zh) * | 2011-05-06 | 2011-07-27 | 南开大学 | 一种应用SGM-SQL注入模型驱动web应用渗透测试的方法 |
| CN102185930A (zh) * | 2011-06-09 | 2011-09-14 | 北京理工大学 | 一种sql注入漏洞检测方法 |
| CN102567546A (zh) * | 2012-01-18 | 2012-07-11 | 北京神州绿盟信息安全科技股份有限公司 | 一种sql注入检测方法及装置 |
| CN103297394B (zh) * | 2012-02-24 | 2016-12-14 | 阿里巴巴集团控股有限公司 | 网站安全检测方法和装置 |
| CN103297394A (zh) * | 2012-02-24 | 2013-09-11 | 阿里巴巴集团控股有限公司 | 网站安全检测方法和装置 |
| CN102831345B (zh) * | 2012-07-30 | 2015-01-28 | 西北工业大学 | Sql注入漏洞检测中的注入点提取方法 |
| CN102831345A (zh) * | 2012-07-30 | 2012-12-19 | 西北工业大学 | Sql注入漏洞检测中的注入点提取方法 |
| CN102799830B (zh) * | 2012-08-06 | 2015-06-17 | 厦门市美亚柏科信息股份有限公司 | 一种改进的sql注入漏洞检测方法 |
| CN102799830A (zh) * | 2012-08-06 | 2012-11-28 | 厦门市美亚柏科信息股份有限公司 | 一种改进的sql注入漏洞检测方法 |
| CN102855418A (zh) * | 2012-08-08 | 2013-01-02 | 周耕辉 | 发现Web内网代理漏洞的方法 |
| CN103001946A (zh) * | 2012-10-31 | 2013-03-27 | 北京奇虎科技有限公司 | 网站安全检测方法、设备和系统 |
| CN102970282A (zh) * | 2012-10-31 | 2013-03-13 | 北京奇虎科技有限公司 | 网站安全检测系统 |
| CN102970282B (zh) * | 2012-10-31 | 2015-08-19 | 北京奇虎科技有限公司 | 网站安全检测系统 |
| CN103530564A (zh) * | 2013-09-24 | 2014-01-22 | 国家电网公司 | 一种sql注入漏洞测试与验证方法及系统 |
| CN103530564B (zh) * | 2013-09-24 | 2016-04-13 | 国家电网公司 | 一种sql注入漏洞测试与验证方法及系统 |
| CN103780614B (zh) * | 2014-01-21 | 2016-12-07 | 金华比奇网络技术有限公司 | 一种基于模拟攻击扩展的sql注入漏洞挖掘方法 |
| CN103780614A (zh) * | 2014-01-21 | 2014-05-07 | 金华比奇网络技术有限公司 | 一种基于模拟攻击扩展的sql注入漏洞挖掘方法 |
| CN104750864A (zh) * | 2015-04-16 | 2015-07-01 | 北京齐尔布莱特科技有限公司 | 一种通用文本校验方法 |
| CN105072095B (zh) * | 2015-07-20 | 2019-03-26 | 北京神州绿盟信息安全科技股份有限公司 | 一种检测sql注入漏洞的方法及装置 |
| CN105072095A (zh) * | 2015-07-20 | 2015-11-18 | 北京神州绿盟信息安全科技股份有限公司 | 一种检测sql注入漏洞的方法及装置 |
| CN106897622A (zh) * | 2015-12-21 | 2017-06-27 | 北京奇虎科技有限公司 | 验证应用漏洞的方法和装置 |
| CN107347059B (zh) * | 2016-05-06 | 2020-06-02 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及检测终端 |
| CN107347059A (zh) * | 2016-05-06 | 2017-11-14 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及检测终端 |
| CN106548071A (zh) * | 2016-08-09 | 2017-03-29 | 北京安天电子设备有限公司 | 一种动态检测sql注入点的方法及系统 |
| CN108509792A (zh) * | 2017-02-23 | 2018-09-07 | 腾讯科技(深圳)有限公司 | 一种注入漏洞检测方法及装置 |
| CN108875368A (zh) * | 2017-05-10 | 2018-11-23 | 北京金山云网络技术有限公司 | 一种安全检测方法、装置及系统 |
| CN107392027A (zh) * | 2017-07-13 | 2017-11-24 | 福建中金在线信息科技有限公司 | 一种网站漏洞测试方法、测试系统、电子设备及存储介质 |
| CN107566392A (zh) * | 2017-09-22 | 2018-01-09 | 北京知道创宇信息技术有限公司 | 一种报错型sql注入的检测方法和代理服务器 |
| CN107908965A (zh) * | 2017-11-14 | 2018-04-13 | 北京知道创宇信息技术有限公司 | 疑似sql注入类型的检测方法及装置 |
| CN108667840A (zh) * | 2018-05-11 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 注入漏洞检测方法及装置 |
| CN109284326A (zh) * | 2018-11-26 | 2019-01-29 | 北京中创碳投科技有限公司 | 一种数据库访问方法和装置 |
| CN110995676A (zh) * | 2019-11-22 | 2020-04-10 | 苏州浪潮智能科技有限公司 | 一种语义攻击型拒绝服务漏洞检测方法 |
| CN111291070A (zh) * | 2020-01-20 | 2020-06-16 | 南京星环智能科技有限公司 | 一种异常sql检测方法、设备及介质 |
| CN111353151A (zh) * | 2020-02-27 | 2020-06-30 | 腾讯云计算(北京)有限责任公司 | 一种网络应用的漏洞检测方法和装置 |
| CN112653670A (zh) * | 2020-12-08 | 2021-04-13 | 北京大米科技有限公司 | 业务逻辑漏洞检测方法、装置、存储介质以及终端 |
| CN112653670B (zh) * | 2020-12-08 | 2023-11-10 | 北京大米科技有限公司 | 业务逻辑漏洞检测方法、装置、存储介质以及终端 |
| CN112738127A (zh) * | 2021-01-08 | 2021-04-30 | 西安邮电大学 | 基于Web的网站与主机漏洞检测系统及其方法 |
| CN112738127B (zh) * | 2021-01-08 | 2023-04-07 | 西安邮电大学 | 基于Web的网站与主机漏洞检测系统及其方法 |
| CN112765611A (zh) * | 2021-01-19 | 2021-05-07 | 上海微盟企业发展有限公司 | 一种越权漏洞检测方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101312393B (zh) | 2011-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101312393B (zh) | 一种sql注入漏洞检测方法及系统 | |
| CN101971591B (zh) | 分析网址的系统及方法 | |
| AU2007273085B2 (en) | System and method of analyzing web content | |
| CN102831345B (zh) | Sql注入漏洞检测中的注入点提取方法 | |
| CN101512522B (zh) | 分析网络内容的系统和方法 | |
| CN102542201B (zh) | 一种网页中恶意代码的检测方法及系统 | |
| CN103744802A (zh) | Sql注入攻击的识别方法及装置 | |
| CN103428309B (zh) | 二维码跳转处理方法 | |
| CN102917070B (zh) | 网页分享系统 | |
| CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
| US7860971B2 (en) | Anti-spam tool for browser | |
| CN102867147B (zh) | 一种文件扫描的方法和装置 | |
| CN102891897A (zh) | 网页分享方法和服务器及客户端 | |
| CN102567546B (zh) | 一种sql注入检测方法及装置 | |
| EP3586250A1 (en) | Systems and methods for direct in-browser markup of elements in internet content | |
| CN103065095A (zh) | 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器 | |
| CN1949780B (zh) | 网络留言系统及留言过滤方法 | |
| US20130238691A1 (en) | Validation associated with a form | |
| WO2016188029A1 (zh) | 解析二维码的方法及装置、计算机可读存储介质、计算机程序产品与终端设备 | |
| CN103647678A (zh) | 一种网站漏洞在线验证方法及装置 | |
| CN102917049A (zh) | 呈现访问网站的信息的方法、浏览器和系统 | |
| CN107832618A (zh) | 一种基于细粒度权限控制的sql注入检测系统及其方法 | |
| CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| CN105049301A (zh) | 一种提供网站综合评价服务的方法和装置 | |
| CN103473501A (zh) | 一种基于云安全的恶意软件追踪方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110831 Termination date: 20170524 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |