CN110086827A - 一种sql注入校验方法、服务器以及系统 - Google Patents
一种sql注入校验方法、服务器以及系统 Download PDFInfo
- Publication number
- CN110086827A CN110086827A CN201910396719.4A CN201910396719A CN110086827A CN 110086827 A CN110086827 A CN 110086827A CN 201910396719 A CN201910396719 A CN 201910396719A CN 110086827 A CN110086827 A CN 110086827A
- Authority
- CN
- China
- Prior art keywords
- verified
- response message
- server
- sql injection
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种SQL注入校验方法、服务器以及系统,通过接收请求终端对目标应用的访问请求,访问请求包含用户输入的待校验信息;对待校验信息启动校验,包括根据目标应用Java校验程序指定的外部数据库中调用groovy脚本,通过groovy脚本中定义的正则表达式,对待校验信息进行校验;根据校验结果生成与之对应的响应消息,将响应消息下发给请求终端;在后台管理员发现新的SQL注入攻击时,可以直接对数据库中的groovy脚本校验程序进行更新修改,服务器在运行SQL语句时可动态调用执行该groovy脚本,而不需要对业务代码进行重新上传发布,极大提高了针对SQL注入攻击的处理效率,便于后台管理员对应用程序的及时维护,有利于保证网络安全。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种SQL注入校验方法、服务器以及系统。
背景技术
SQLInject,所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
比如在一个登录界面,要求输入用户名和密码:
可以这样输入实现免帐号登录:
用户名:‘or 1=1––
密码:
点击登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了。从理论上说,后台校验程序中会有如下的SQL语句:
String sql="select*from user_table where username=
'"+userName+"'andpassword='"+password+"'";
当输入了上面的用户名和密码,上面的SQL语句变成:
SELECT*FROM user_tableWHERE username=
”or 1=1--andpassword=”
分析SQL语句:
条件后面username=”or 1=1用户名等于”或1=1那么这个条件一定会成功;然后后面加两个--,这意味着注释,让他们不起作用,这样语句永远都能正确执行,用户轻易骗过系统,获取合法身份。
SQL注入可能导致攻击者使用应用程序登陆在数据库中执行命令。如果应用程序使用特权过高的帐户连接到数据库,这种问题会变得很严重。SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。
目前业界主要防止网络攻击主要采用SQL预编译处理和用户提交参数验证的方式进行拦截。
目前拦截网络攻击主要存在以下问题:拦截一般采用固定的正则表达式,用户提交了信息就进行验证,能够识别拦截大部分的异常信息,但是对于新出现的异常信息不能及时响应,需要针对新出现的攻击形式进行针对性修改代码、并在发布后才能生效,往往从时间效率上反应不及时。
发明内容
本发明提供的一种SQL注入校验方法、服务器以及系统,主要解决的技术问题是:对于新的SQL注入攻击需要修改代码,并在发布后才能生效,使得处理效率低,反映不及时。
为解决上述技术问题,本发明提供一种SQL注入校验方法,包括:
接收请求终端对目标应用的访问请求,所述访问请求包含用户输入的待校验信息;
对所述待校验信息启动校验,包括根据所述目标应用Java校验程序指定的外部数据库中调用groovy脚本,通过所述groovy脚本中定义的正则表达式,对所述待校验信息进行校验;
根据校验结果生成与之对应的响应消息,将所述响应消息下发给所述请求终端。
可选的,所述待校验信息包括用户名。
可选的,所述根据校验结果生成与之对应的响应消息包括:
当所述校验结果为请求合法时,生成的响应消息包括所述访问请求正常请求的页面;
当所述校验结果为请求非法时,生成的响应消息包括请求失败的提示页面。
可选的,在所述将所述响应消息下发给所述请求终端之前,还包括:
将所述请求失败的提示页面中的错误提示码进行隐藏处理;或者将所述错误提示码从所述请求失败的提示页面中剔除。
本发明还提供一种服务器,包括处理器、存储器及通信总线;
所述通信总线用于实现处理器和存储器之间的连接通信;
所述处理器用于执行存储器中存储的一个或者多个程序,以实现如上任一项所述的SQL注入校验方法的步骤。
本发明还提供一种SQL注入校验系统,包括服务器以及与所述服务器通信连接的用户终端、数据库;其中,
所述用户终端用于在目标应用的访问请求界面接收用户输入的待校验信息,并将所述待校验信息发送给所述服务器以实现登录;
所述服务器用于接收所述待校验信息,对所述待校验信息启动校验,包括根据所述目标应用Java校验程序所指定的所述数据库中调用groovy脚本,通过所述groovy脚本中定义的正则表达式,对所述待校验信息进行校验;并根据校验结果生成与之对应的响应消息,将所述响应消息下发给所述用户终端。
可选的,所述数据库用于接收后台管理员对所述groovy脚本中定义的正则表达式的更新。
可选的,所述待校验信息包括用户名。
可选的,所述服务器用于当所述校验结果为请求合法时,生成的响应消息包括所述访问请求正常请求的页面;当所述校验结果为请求非法时,生成的响应消息包括请求失败的提示页面。
可选的,所述服务器还用于在所述将所述响应消息下发给所述请求终端之前,将所述请求失败的提示页面中的错误提示码进行隐藏处理;或者将所述错误提示码从所述请求失败的提示页面中剔除。
本发明的有益效果是:
根据本发明提供的一种SQL注入校验方法、服务器以及系统,通过接收请求终端对目标应用的访问请求,访问请求包含用户输入的待校验信息;对待校验信息启动校验,包括根据目标应用Java校验程序指定的外部数据库中调用groovy脚本,通过groovy脚本中定义的正则表达式,对待校验信息进行校验;根据校验结果生成与之对应的响应消息,将响应消息下发给请求终端;groovy在语法上兼具java语言和脚本语言特点,groovy支持直接读取String进行运行,这意味着当后台管理员发现新的SQL注入攻击时,可以直接对数据库中的groovy脚本校验程序进行更新修改,服务器在运行SQL语句时可动态调用执行该groovy脚本,而不需要对业务代码进行重新上传发布,极大提高了针对SQL注入攻击的处理效率,便于后台管理员对应用程序的及时维护,有利于保证网络安全。
附图说明
图1为本发明实施例一的一种SQL注入校验方法流程示意图;
图2为本发明实施例二的服务器结构示意图;
图3为本发明实施例三的一种SQL注入校验系统结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面通过具体实施方式结合附图对本发明作进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例一:
请参见图1,图1为本实施例提供的SQL注入校验方法流程示意图,该方法主要包括如下步骤:
S11、接收请求终端对目标应用的访问请求,该访问请求包含用户输入的待校验信息。
用户通过客户端或者浏览器的形式,在目标应用的登录界面通过输入待校验信息,可以向该目标应用发起访问请求,包括但不限于登录请求。其中待校验信息包括用户在登录页面输入的用户名,在实际应用中,可能还包括输入的密码和/或验证码等。
S12、对待校验信息启动校验,包括根据目标应用Java校验程序指定的外部数据库中调用groovy脚本,通过该groovy脚本中定义的正则表达式,对待校验信息进行校验。
请求终端(user equipment,即用户终端)采集用户输入的待校验信息,并发送给WEB服务器。服务器接收到该访问请求时,解析处理,得到待校验信息,对该待校验信息启动校验。具体包括根据目标应用Java校验程序指定的外部数据库中调用groovy脚本,通过该groovy脚本中定义的正则表达式,对待校验信息进行校验。
应当理解的是,对于groovy脚本需要在目标应用的校验程序中预先引入,在执行校验时,服务器可以根据该校验程序可以从外部数据库调用该groovy脚本,执行校验过程,得到校验结果。其中,在目标应用的校验程序中引入groovy脚本可以参见如下代码段:
ClassLoaderparent=getClass().getClassLoader();
GroovyClassLoader loader=new GroovyClassLoader(parent);
Class groovyClass=loader.parseClass(new File("src/main/resources/groovy/assembly.groovy"));
GroovyObject groovyObject=(GroovyObject)groovyClass.newInstance();
Object[]args={};
groovyObject.invokeMethod("run",args);
包括:Java环境中集成groovy基础类;加载groovy脚本;实例化脚本对象;执行脚本中定义的校验方法,并传递待校验信息,进行校验,返回是否通过校验的标识。
脚本示例可以参见如下代码段:
其中“trancate”定义SQL注入攻击的正则表达式。
S13、根据校验结果生成与之对应的响应消息,将响应消息下发给该请求终端。
可选的,当校验结果为请求合法时,生成的响应消息包括访问请求正常请求的页面;当校验结果为请求非法时,生成的响应消息包括请求失败的提示页面。
通常,请求失败的提示页面中包含错误提示码,一般为500-599,这些错误提示码具有一些提示错误的关键字,攻击者可以从中联想到应对策略,从而发起新一轮的SQL注入攻击。为此,本实施例还提供一种方案,在将请求失败的提示页面下发给请求终端之前,将请求失败的提示页面中的错误提示码进行隐藏处理;或者将错误提示码从请求失败的提示页面中剔除;使得请求失败的提示页面中仅包含通用的提示消息,攻击者无法找到突破口。例如“您的输入‘***’存在非法信息,请重新输入”。进而可以保证目标应用的网络安全,降低收受到SQL注入攻击的风险。
本实施例提供的SQL注入校验方法,通过接收请求终端对目标应用的访问请求,访问请求包含用户输入的待校验信息;对待校验信息启动校验,包括根据目标应用Java校验程序指定的外部数据库中调用groovy脚本,通过groovy脚本中定义的正则表达式,对待校验信息进行校验;根据校验结果生成与之对应的响应消息,将响应消息下发给请求终端;groovy在语法上兼具java语言和脚本语言特点,groovy支持直接读取String进行运行,这意味着当后台管理员发现新的SQL注入攻击时,可以直接对数据库中的groovy脚本校验程序进行更新修改,服务器在运行SQL语句时可动态调用执行该groovy脚本,而不需要对业务代码进行重新上传发布,极大提高了针对SQL注入攻击的处理效率,便于后台管理员对应用程序的及时维护,有利于保证网络安全。
实施例二:
本实施例在实施例一的基础上,提供一种服务器,用于实现上述实施例一种所述的SQL注入校验方法的步骤,请参见图2,图2为本实施例提供的服务器的结构示意图,主要包括处理器21、存储器22及通信总线23;
其中,通信总线23用于实现处理器21和存储器22之间的连接通信;处理器21用于执行存储器22中存储的一个或者多个程序,以实现如实施例一所述的SQL注入校验方法的步骤。具体请参见上述实施例一中的描述,本实施例不再赘述。
实施例三:
本实施例在实施例一和/或实施例二的基础上,提供一种SQL注入校验系统30,包括服务器31以及与服务器31通信连接的用户终端32、数据库33;
其中,用户终端32用于在目标应用的访问请求界面,接收用户输入的待校验信息,并将待校验信息发送给服务器31以实现登录。
其中,待校验信息包括用户名,在本发明的其他实施例中,待校验信息还包括登录密码、验证码等。
服务器31用于接收用户终端32发送的待校验信息,对该待校验信息启动校验,包括根据目标应用Java校验程序所指定的数据库33中调用groovy脚本,通过groovy脚本中定义的正则表达式,对待校验信息进行校验;并根据校验结果生成与之对应的响应消息,并将响应消息下发给用户终端32。
可选的,服务器31用于当校验结果为请求合法时,生成的响应消息包括访问请求正常请求的页面;当校验结果为请求非法时,生成的响应消息包括请求失败的提示页面。
服务器31还用于在将响应消息下发给请求终端32之前,将请求失败的提示页面中的错误提示码进行隐藏处理;或者将错误提示码从请求失败的提示页面中剔除。使得攻击者无法看到该错误提示码,避免攻击者从该错误提示码中找到校验的关键字信息,从而想到新的SQL注入攻击方式,发起新一轮SQL注入。
数据库33用于接收后台管理员对groovy脚本中定义的正则表达式的更新。包括修改、增加用于对待校验信息进行校验的正则表达式。
本实施例提供的SQL注入校验系统30,包括服务器31以及与服务器31通信连接的用户终端32、数据库33;其中,用户终端32用于在目标应用的访问请求界面,接收用户输入的待校验信息,并将该待校验信息发送给服务器31以实现登录;服务器31用于接收用户终端32发送的待校验信息,对该待校验信息启动校验,包括根据目标应用Java校验程序所指定的数据库33中调用groovy脚本,通过groovy脚本中定义的正则表达式,对待校验信息进行校验;并根据校验结果生成与之对应的响应消息,并将响应消息下发给用户终端32;groovy在语法上兼具java语言和脚本语言特点,groovy支持直接读取String进行运行,这意味着当后台管理员发现新的SQL注入攻击时,可以直接对数据库中的groovy脚本校验程序进行更新修改,服务器在运行SQL语句时可动态调用执行该groovy脚本,而不需要对业务代码进行重新上传发布,极大提高了针对SQL注入攻击的处理效率,便于后台管理员对应用程序的及时维护。可选的,在响应消息为请求失败的提示页面时,服务器31将该提示页面中的错误提示码予以剔除或者隐藏后,再发送给请求用户终端32,避免攻击者从中找到破解方式,通过新的SQL注入发起攻击,进而保证目标应用的网络安全。
显然,本领域的技术人员应该明白,上述本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在计算机存储介质(ROM/RAM、磁碟、光盘)中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。所以,本发明不限制于任何特定的硬件和软件结合。
以上内容是结合具体的实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (10)
1.一种SQL注入校验方法,其特征在于,包括:
接收请求终端对目标应用的访问请求,所述访问请求包含用户输入的待校验信息;
对所述待校验信息启动校验,包括根据所述目标应用Java校验程序指定的外部数据库中调用groovy脚本,通过所述groovy脚本中定义的正则表达式,对所述待校验信息进行校验;
根据校验结果生成与之对应的响应消息,将所述响应消息下发给所述请求终端。
2.如权利要求1所述的SQL注入校验方法,其特征在于,所述待校验信息包括用户名。
3.如权利要求1或2所述的SQL注入校验方法,其特征在于,所述根据校验结果生成与之对应的响应消息包括:
当所述校验结果为请求合法时,生成的响应消息包括所述访问请求正常请求的页面;
当所述校验结果为请求非法时,生成的响应消息包括请求失败的提示页面。
4.如权利要求3所述的SQL注入校验方法,其特征在于,在所述将所述响应消息下发给所述请求终端之前,还包括:
将所述请求失败的提示页面中的错误提示码进行隐藏处理;或者将所述错误提示码从所述请求失败的提示页面中剔除。
5.一种服务器,其特征在于,所述服务器包括处理器、存储器及通信总线;
所述通信总线用于实现处理器和存储器之间的连接通信;
所述处理器用于执行存储器中存储的一个或者多个程序,以实现如权利要求1至4中任一项所述的SQL注入校验方法的步骤。
6.一种SQL注入校验系统,其特征在于,包括服务器以及与所述服务器通信连接的用户终端、数据库;其中,
所述用户终端用于在目标应用的访问请求界面接收用户输入的待校验信息,并将所述待校验信息发送给所述服务器以实现登录;
所述服务器用于接收所述待校验信息,对所述待校验信息启动校验,包括根据所述目标应用Java校验程序所指定的所述数据库中调用groovy脚本,通过所述groovy脚本中定义的正则表达式,对所述待校验信息进行校验;并根据校验结果生成与之对应的响应消息,将所述响应消息下发给所述用户终端。
7.如权利要求6所述的SQL注入校验系统,其特征在于,所述数据库用于接收后台管理员对所述groovy脚本中定义的正则表达式的更新。
8.如权利要求6所述的SQL注入校验系统,其特征在于,所述待校验信息包括用户名。
9.如权利要求6-8任一项所述的SQL注入校验系统,其特征在于,所述服务器用于当所述校验结果为请求合法时,生成的响应消息包括所述访问请求正常请求的页面;当所述校验结果为请求非法时,生成的响应消息包括请求失败的提示页面。
10.如权利要求9所述的SQL注入校验系统,其特征在于,所述服务器还用于在所述将所述响应消息下发给所述请求终端之前,将所述请求失败的提示页面中的错误提示码进行隐藏处理;或者将所述错误提示码从所述请求失败的提示页面中剔除。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910396719.4A CN110086827B (zh) | 2019-05-14 | 2019-05-14 | 一种sql注入校验方法、服务器以及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910396719.4A CN110086827B (zh) | 2019-05-14 | 2019-05-14 | 一种sql注入校验方法、服务器以及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110086827A true CN110086827A (zh) | 2019-08-02 |
CN110086827B CN110086827B (zh) | 2021-11-02 |
Family
ID=67420100
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910396719.4A Active CN110086827B (zh) | 2019-05-14 | 2019-05-14 | 一种sql注入校验方法、服务器以及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110086827B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111259042A (zh) * | 2020-01-08 | 2020-06-09 | 智业软件股份有限公司 | 一种动态查询方法及系统 |
CN113535322A (zh) * | 2020-04-15 | 2021-10-22 | 北京沃东天骏信息技术有限公司 | 一种表单校验方法和装置 |
CN114979096A (zh) * | 2022-05-19 | 2022-08-30 | 浪潮软件集团有限公司 | 一种国产CPU和Os的脚本任务批量下发平台及方法 |
CN115022150A (zh) * | 2022-04-21 | 2022-09-06 | 中国农业银行股份有限公司 | 一种网络应急方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080022160A1 (en) * | 2005-12-30 | 2008-01-24 | Skyetek, Inc. | Malware scanner for rfid tags |
CN101526947A (zh) * | 2009-04-23 | 2009-09-09 | 山东中创软件商用中间件股份有限公司 | 应用正则表达式防sql注入技术 |
CN104038344A (zh) * | 2014-06-19 | 2014-09-10 | 电子科技大学 | 一种基于正则表达式的身份验证方法 |
CN106209398A (zh) * | 2015-04-30 | 2016-12-07 | 中兴通讯股份有限公司 | 一种基于管理信息模型获取业务错误信息的方法及装置 |
US20180349602A1 (en) * | 2017-06-06 | 2018-12-06 | Sap Se | Security testing framework including virtualized server-side platform |
CN109033410A (zh) * | 2018-08-03 | 2018-12-18 | 韩雪松 | 一种基于正则与字符串切割的sql解析方法 |
-
2019
- 2019-05-14 CN CN201910396719.4A patent/CN110086827B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080022160A1 (en) * | 2005-12-30 | 2008-01-24 | Skyetek, Inc. | Malware scanner for rfid tags |
CN101526947A (zh) * | 2009-04-23 | 2009-09-09 | 山东中创软件商用中间件股份有限公司 | 应用正则表达式防sql注入技术 |
CN104038344A (zh) * | 2014-06-19 | 2014-09-10 | 电子科技大学 | 一种基于正则表达式的身份验证方法 |
CN106209398A (zh) * | 2015-04-30 | 2016-12-07 | 中兴通讯股份有限公司 | 一种基于管理信息模型获取业务错误信息的方法及装置 |
US20180349602A1 (en) * | 2017-06-06 | 2018-12-06 | Sap Se | Security testing framework including virtualized server-side platform |
CN109033410A (zh) * | 2018-08-03 | 2018-12-18 | 韩雪松 | 一种基于正则与字符串切割的sql解析方法 |
Non-Patent Citations (1)
Title |
---|
娄翠伶: ""基于Grails的Web安全漏洞检测系统的研究与应用"", 《万方》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111259042A (zh) * | 2020-01-08 | 2020-06-09 | 智业软件股份有限公司 | 一种动态查询方法及系统 |
CN111259042B (zh) * | 2020-01-08 | 2022-05-31 | 智业软件股份有限公司 | 一种动态查询方法及系统 |
CN113535322A (zh) * | 2020-04-15 | 2021-10-22 | 北京沃东天骏信息技术有限公司 | 一种表单校验方法和装置 |
CN115022150A (zh) * | 2022-04-21 | 2022-09-06 | 中国农业银行股份有限公司 | 一种网络应急方法及装置 |
CN115022150B (zh) * | 2022-04-21 | 2024-04-12 | 中国农业银行股份有限公司 | 一种网络应急方法及装置 |
CN114979096A (zh) * | 2022-05-19 | 2022-08-30 | 浪潮软件集团有限公司 | 一种国产CPU和Os的脚本任务批量下发平台及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110086827B (zh) | 2021-11-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110086827A (zh) | 一种sql注入校验方法、服务器以及系统 | |
EP3552098B1 (en) | Operating system update management for enrolled devices | |
US11068583B2 (en) | Management of login information affected by a data breach | |
CN100492300C (zh) | 在微处理器实现的设备上执行进程的系统和方法 | |
Tajpour et al. | Web application security by sql injection detectiontools | |
US20200026846A1 (en) | System and method for authenticating safe software | |
Bai et al. | Towards model checking android applications | |
US11783016B2 (en) | Computing system and method for verification of access permissions | |
US11501000B2 (en) | Auto-injection of security protocols | |
Baranwal | Approaches to detect SQL injection and XSS in web applications | |
CN113256296B (zh) | 智能合约执行方法、系统、装置和存储介质 | |
US10771462B2 (en) | User terminal using cloud service, integrated security management server for user terminal, and integrated security management method for user terminal | |
US11722526B1 (en) | Security policy validation | |
US20110154364A1 (en) | Security system to protect system services based on user defined policies | |
CN111475763B (zh) | 网页运行方法、装置、存储介质及设备 | |
CN111159714B (zh) | 一种访问控制中主体运行时可信验证方法及系统 | |
CN112464225A (zh) | 一种请求处理方法、请求处理装置及计算机可读存储介质 | |
US8418227B2 (en) | Keystroke logger for Unix-based systems | |
Mimura et al. | Toward Automated Audit of Client-Side Vulnerability Against Cross-Site Scripting | |
Fu et al. | Malicious attacks on the web and crawling of information data by Python technology | |
KR102497201B1 (ko) | Sql 주입 취약점 진단 방법, 장치 및 컴퓨터 프로그램 | |
CN111385249B (zh) | 一种脆弱性检测方法 | |
Jiang et al. | Protection Tiers and Their Applications for Evaluating Untrusted Code on A Linux-Based Web Server. | |
CN117852024A (zh) | 一种应用于分布式数据库的安全审计方法及相关设备 | |
Bhar et al. | A Review of Testing Technology in Web Application System |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |