CN104636667A - 基于云计算的注入漏洞检测系统及其注入方法 - Google Patents
基于云计算的注入漏洞检测系统及其注入方法 Download PDFInfo
- Publication number
- CN104636667A CN104636667A CN201310559327.8A CN201310559327A CN104636667A CN 104636667 A CN104636667 A CN 104636667A CN 201310559327 A CN201310559327 A CN 201310559327A CN 104636667 A CN104636667 A CN 104636667A
- Authority
- CN
- China
- Prior art keywords
- injection
- flaw detecting
- detecting system
- detecting
- injection flaw
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
基于云计算的注入漏洞检测系统,是一种将传统的注入漏洞检测软件与新兴的云计算技术结合,为互联网络上的虚拟主机站点提供注入漏洞实时检测的在线检查系统。它主要解决了传统注入漏洞检测软件存在的几个问题:(1)单机版,不提供在线检测功能(2)软件更新不及时,不能防范最新出现的注入漏洞利用方式(3)需要检测人员具备较高的网络安全理论知识。本发明利用独创的差异概率检测方式,结合云计算技术,可为虚拟主机站点提供实时的注入漏洞检测服务,后台数据库定期更新检测项目,使用者仅需提供主机地址就可获取详细的检测报告,不设置任何技术门槛。本发明适用于以C#或ASP语言编写的主机站点所含注入漏洞的检测。
Description
技术领域
本发明公开了一种基于云计算的注入漏洞检测系统及其注入方法,属于计算机软件应用开发领域,该系统包括云基础设施层、中间件层、显示层和管理层。所述的云基础设施层采用了VMware虚拟化技术和关系型数据库,用于为软件系统提供硬件环境;中间件层采用REST技术和分布式缓存技术,可用于支撑显示层,也可以直接让用户调用;显示层采用C++语言编写的SQL注入漏洞检测工具,主要设计用于ASP语言编写的网站页面的注入漏洞检测,部分功能也适用于其他语言编写的页面;管理层采用SLA监控、信誉管理技术、负载均衡和运维管理。与现有技术相比,本发明采用差异概率检测方式和Cookie注入方式,单、多线程同步检测切换,手工自动切换,站点反向解析、Unicode反编码等注入方法,在注入漏洞检测的准确性、稳定性及检测速度上均有较好的表现,尤其对使用了MS SQL后台数据库的页面存在的注入漏洞有着极高的识别率。
背景技术
SQL注入是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力。检查SQL注入漏洞主要涉及到两方面,一是审计用户的Web应用程序,二是通过使用自动化的SQL注入扫描器执行审记的最佳方法。主要的技术包括以下软件,SQLIer通过找到网站上一个有SQL注入漏洞的URL,并根据有关信息来生成利用SQL注入漏洞,但它不要求用户的交互。SQLMap用python开发,它能执行一个动态的数据库管理系统指纹识别,可以完整地穷举远程数据库。其目标是实施一个完整的功能性数据库管理系统工具,它能够利用Web应用程序程序设置的全部缺陷,这些安全缺陷可以导致SQL注入漏洞。在SQLMap检测到目标系统上的一个或多个SQL注入漏洞之后,用户就可以从多种选项中选择,进而执行全面的后端数据库管理系统指纹识别,检索数据库管理系统会话用户和数据,穷举用户、口令、数据库,运行其自身的SQL SELECT语句,读取文件系统上的特定文件等。SQLID是一个SQL注入漏洞挖掘器,是一个命令行实用程序,它能够查找SQL注入漏洞和网站中的常见错误。它可以执行以下几种操作:查找网页中的SQL注入漏洞,测试提交的表单,查找SQL注入漏洞的可能性。SQL Power Injector可帮助渗透测试人员找到并利用网页上的漏洞。Sqlninja可以利用以SQL Server为后端数据支持的应用程序的漏洞,其主要目标是提供对有漏洞的数据库服务器的远程访问。现有技术未提供云计算环境下的应用模式,注入方法比较单一,注入漏洞检测的识别率较低,注入漏洞检测的准确性、稳定性及检测速度上与本方法相比有明显差异。
发明内容
本发明提供了一种云计算环境下注入漏洞检测系统及其注入方法。本发明主要解决技术问题有:1.解决中小企业信息化过程中的注入漏洞检测问题;2. 注入漏洞检测速度慢的技术问题;3.注入方式单一的技术问题;4. 注入漏洞检测的准确性不高,识别率低的技术问题。本发明采用的技术方案是:1. 该系统包括云基础设施层、中间件层、显示层和管理层。所述的云基础设施层采用了VMware虚拟化技术和关系型数据库,用于为软件系统提供硬件环境;中间件层采用REST技术和分布式缓存技术,可用于支撑显示层,也可以直接让用户调用;显示层采用C++语言编写的SQL注入漏洞检测系统,主要设计用于ASP语言编写的网站页面的注入漏洞检测,部分功能也适用于其他语言编写的页面;管理层采用SLA监控、信誉管理技术、负载均衡和运维管理。2.采用C++语言编写的SQL注入漏洞检测工具;3. 采用了选项卡菜单,它们主要用于完成以下操作:注入点检测、数据库名检测、表名检测、字段名检测、字段内容检测、后台地址搜索、搜索同一IP地址的所有域名、注入检测语句的动态修改、利用MS SQL数据库枚举文件目录及备份、URL地址的编解码、Unicode串的解码、字典维护。本发明主要有以下的优点:1.独特的差异概率检测方式,通过对被检测的页面提交SQL注入检测语句,在多数情况下,返回的页面长度值可用于判定该页面是否存在,或存在部分注入漏洞(如没有正确或完整修复注入漏洞的站点)。差异概率用量化的方式体现了页面有无注入漏洞的区别;2.动态修改注入检测语句,由于不同HTTP服务器及站点页面代码间存在的众多差异,动态修改注入检测语句成为了注入检测是否取得成功的必备功能。使用软件的日志功能,检测者可正确分析何时修改检测语句,以完成存在部分注入漏洞的页面检测。3. 软件采用Unicode反编码手段以正确解析网站后台数据库存储的中文信息;4. Cookie注入方式,Get或Post方式的注入方式已经为绝大多数站点所防范,但仍存在忽略Cookie注入方式的站点,特别对使用了“通过防注入代码”的站点更易以此方式检出注入漏洞;5. 对站点的反向解析,获得服务器上所有网站的基本信息是SQL注入检测的一个重要工作,软件通过对检测对象的反向解析以获得这些信息6. 完善的管理后台地址列表,,越来越多的网站不再使用默认的后台地址(如admin),因此拥有足够数量的管理后台地址成为SQL注入检测是否取得成功的另一个关键;7. 完善的日志功能。检测者通过分析检测过程中产生的详细日志,可以了解、分析站点是否采取了一定的安全防护措施。另一方面,也可仅查看简洁日志,以提高检测效率。
Claims (2)
1.一种云计算环境下注入漏洞检测系统,其特征在于,所述系统包括:云基础设施层采用了VMware虚拟化技术和关系型数据库,用于为软件系统提供硬件环境;中间件层采用REST技术和分布式缓存技术,可用于支撑显示层,也可以直接让用户调用;显示层采用C++语言编写的SQL注入漏洞检测工具,采用选项卡菜单完成注入点检测、数据库名检测、表名检测、字段名检测、字段内容检测、后台地址搜索、搜索同一IP地址的所有域名、注入检测语句的动态修改、利用MS SQL数据库枚举文件目录及备份、URL地址的编解码、Unicode串的解码、字典维护,主要设计用于ASP语言编写的网站页面的注入漏洞检测,部分功能也适用于其他语言编写的页面;管理层采用SLA监控、信誉管理技术、负载均衡和运维管理。
2.一种云计算环境下注入漏洞检测系统,其特征在于,包括:1)应用接口,与后台数据库进行交互的接口;2)差异概率检测方式,提交SQL注入检测语句,以页面长度值判定该页面是否存在,或存在部分注入漏洞;3)动态修改注入检测语句; 4)采用Unicode反编码解析网站后台数据库存储的中文信息;5) Cookie注入方式;6) 对站点的反向解析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310559327.8A CN104636667A (zh) | 2013-11-12 | 2013-11-12 | 基于云计算的注入漏洞检测系统及其注入方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310559327.8A CN104636667A (zh) | 2013-11-12 | 2013-11-12 | 基于云计算的注入漏洞检测系统及其注入方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104636667A true CN104636667A (zh) | 2015-05-20 |
Family
ID=53215405
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310559327.8A Pending CN104636667A (zh) | 2013-11-12 | 2013-11-12 | 基于云计算的注入漏洞检测系统及其注入方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104636667A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107392014A (zh) * | 2017-06-23 | 2017-11-24 | 复旦大学 | 基于数据库结构随机变化的sql注入防御方法和系统 |
| CN109948334A (zh) * | 2019-03-26 | 2019-06-28 | 深信服科技股份有限公司 | 一种漏洞检测方法、系统及电子设备和存储介质 |
| CN112840326A (zh) * | 2018-12-03 | 2021-05-25 | 易享信息技术有限公司 | 用于自动化操作管理的测试引擎 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101425937A (zh) * | 2007-11-02 | 2009-05-06 | 北京启明星辰信息技术有限公司 | 一种适于高速局域网环境的sql注入攻击检测系统 |
| CN102185930A (zh) * | 2011-06-09 | 2011-09-14 | 北京理工大学 | 一种sql注入漏洞检测方法 |
| CN102799830A (zh) * | 2012-08-06 | 2012-11-28 | 厦门市美亚柏科信息股份有限公司 | 一种改进的sql注入漏洞检测方法 |
-
2013
- 2013-11-12 CN CN201310559327.8A patent/CN104636667A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101425937A (zh) * | 2007-11-02 | 2009-05-06 | 北京启明星辰信息技术有限公司 | 一种适于高速局域网环境的sql注入攻击检测系统 |
| CN102185930A (zh) * | 2011-06-09 | 2011-09-14 | 北京理工大学 | 一种sql注入漏洞检测方法 |
| CN102799830A (zh) * | 2012-08-06 | 2012-11-28 | 厦门市美亚柏科信息股份有限公司 | 一种改进的sql注入漏洞检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 刘合叶: "多功能SQL注入检测系统的实现及攻击防范方法研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107392014A (zh) * | 2017-06-23 | 2017-11-24 | 复旦大学 | 基于数据库结构随机变化的sql注入防御方法和系统 |
| CN107392014B (zh) * | 2017-06-23 | 2021-04-30 | 复旦大学 | 基于数据库结构随机变化的sql注入防御方法和系统 |
| CN112840326A (zh) * | 2018-12-03 | 2021-05-25 | 易享信息技术有限公司 | 用于自动化操作管理的测试引擎 |
| CN109948334A (zh) * | 2019-03-26 | 2019-06-28 | 深信服科技股份有限公司 | 一种漏洞检测方法、系统及电子设备和存储介质 |
| CN109948334B (zh) * | 2019-03-26 | 2024-02-23 | 深信服科技股份有限公司 | 一种漏洞检测方法、系统及电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10628577B2 (en) | Identifying software components in a software codebase | |
| CN102156832B (zh) | 一种Firefox扩展的安全缺陷检测方法 | |
| US20150339479A1 (en) | Polymorphic Treatment of Data Entered At Clients | |
| Djuric | A black-box testing tool for detecting SQL injection vulnerabilities | |
| CN103220352B (zh) | 终端、服务器、文件存储系统和文件存储方法 | |
| CN112347327B (zh) | 网站检测方法、装置、可读存储介质及计算机设备 | |
| US10579710B2 (en) | Bidirectional hyperlink synchronization for managing hypertexts in social media and public data repository | |
| US20140258990A1 (en) | Method and system for providing a core dump-level stack trace | |
| Nagy et al. | Where was this SQL query executed? a static concept location approach | |
| WO2020211130A1 (zh) | 一种网站暗链检测方法和装置 | |
| CN115150261B (zh) | 告警分析的方法、装置、电子设备及存储介质 | |
| ÐURIĆ | WAPTT-Web application penetration testing tool | |
| CN112214411A (zh) | 一种容灾系统测试方法、装置、设备及存储介质 | |
| CN105404816A (zh) | 基于内容的漏洞检测方法及装置 | |
| CN110121729A (zh) | 用于识别和表征数据流中包含的信号的系统和方法 | |
| CN109657462B (zh) | 数据检测方法、系统、电子设备和存储介质 | |
| CN104636667A (zh) | 基于云计算的注入漏洞检测系统及其注入方法 | |
| CN114281803A (zh) | 数据迁移方法、装置、设备、介质和程序产品 | |
| Xu et al. | Hue: A user-adaptive parser for hybrid logs | |
| CN116319089B (zh) | 一种动态弱密码检测方法、装置、计算机设备及介质 | |
| Ma et al. | Code analysis with static application security testing for python program | |
| MY159103A (en) | Cybercrime detecting and preventing method and system established by telephone number code, authorization code and source identification code | |
| Nembhard et al. | Extracting knowledge from open source projects to improve program security | |
| CN113904828B (zh) | 接口的敏感信息检测方法、装置、设备、介质和程序产品 | |
| KR102258956B1 (ko) | 관계형 데이터베이스를 관리하기 위한 언어인 SQL(Structured Query Language)이 사용되는 환경에서 공격을 탐지하기 위한 방법 및 이를 사용한 서버 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150520 |
|
| WD01 | Invention patent application deemed withdrawn after publication |