CN111934949A - 一种基于数据库注入测试的安全测试系统 - Google Patents
一种基于数据库注入测试的安全测试系统 Download PDFInfo
- Publication number
- CN111934949A CN111934949A CN202010715095.0A CN202010715095A CN111934949A CN 111934949 A CN111934949 A CN 111934949A CN 202010715095 A CN202010715095 A CN 202010715095A CN 111934949 A CN111934949 A CN 111934949A
- Authority
- CN
- China
- Prior art keywords
- information
- module
- request
- injection
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000002347 injection Methods 0.000 title claims abstract description 83
- 239000007924 injection Substances 0.000 title claims abstract description 83
- 238000012360 testing method Methods 0.000 title claims abstract description 21
- 238000011076 safety test Methods 0.000 title abstract description 8
- 238000012544 monitoring process Methods 0.000 claims abstract description 29
- 230000004044 response Effects 0.000 claims abstract description 18
- 238000000034 method Methods 0.000 claims abstract description 15
- 230000008569 process Effects 0.000 claims abstract description 10
- 230000002159 abnormal effect Effects 0.000 claims abstract description 6
- 238000001514 detection method Methods 0.000 claims abstract description 6
- 230000010365 information processing Effects 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 12
- 238000007405 data analysis Methods 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 7
- 239000000126 substance Substances 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 12
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000013524 data verification Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明公开了一种基于数据库注入测试的安全测试系统,包括:语音请求录入模块和文字请求录入模块分别接收语音数据注入请求和文字数据注入请求,分别进行识别,得到第一注入请求和第二注入请求;响应监听模块用于对第一注入请求和/或第二注入请求以及其响应信息进行辅助监听;消息识别模块被配置为识别第一注入请求和第二注入请求及二者的响应信息是否异常,并将识别结果发送至信息收集模块;信息收集模块与信息发送模块分别用于对接收的信息进行存储和并向客户端发送。本发明通过利用大数据对注入请求进行分析,识别并阻断异常注入;另外在检测过程中以将信息传输给客户端,反馈危险信息,提高数据安全性。
Description
技术领域
本发明涉及安全测试系统,具体涉及一种基于数据库注入测试的安全测试系统。
背景技术
随着网络和计算机软件信息技术的发展,客户端/服务器(B/S)模式得到了越来越广泛的应用,网络安全越来越受到大家的重视和关注,相关的安全测试也越来越必不可少。B/S模式中经常出现用户与后台数据库服务器之间进行数据交互的情形,即用户在客户端的网页上通过表单输入并提交数据,服务端的应用程序根据用户提交的数据构造SQL语句,提交到数据库服务器进行处理,并向用户返回处理结果。在开发B/S模式的应用程序时,许多开发者忽略了对用户输入数据的合法性进行判断,使应用程序存在安全隐患。攻击者提交一段数据库查询代码,根据程序返回的结果,窃取相关的数据,即为数据库注入攻击技术,也称SQL注入(SQL Injection)攻击。
在安全测试中,数据库注入测试都会做为一个使用频繁的常用安全测试方法,测试人员可以通过该方法模拟黑客进行攻击,验证被测网址是否对于用户提交的参数未做过滤就直接放到SQL语句中执行,导致参数中的特殊字符打破了SQL语句原有逻辑,而被黑客利用该漏洞执行了任意SQL语句,从而提高被测网站的安全等级。但是从数据库访问行为本身看,无论是用户的正常访问,还是攻击者的注入攻击,都表现为向数据库服务器提交并运行SQL语句,这就导致虽然网络安全产品可以记录用户对数据库的访问信息,但是无法区分一条数据库访问记录所代表的访问行为是正常的访问还是恶意的注入攻击。这样当攻击者实施注入攻击时,安全产品只能记录攻击者的行为,无法及时检测出攻击并实施阻断,只能通过事后分析的方式对攻击进行识别。另外,攻击者的访问记录被淹没在大量的访问记录中,安全管理人员只能通过经验进行识别,给事后分析带来了极大的不便。
很多云端业务系统已经部署了WAF或已经在云端部署了数据校验的代码功能,由于WAF或云端业务安全代码对很多常见特殊字符进行了过滤,导致基于数据库注入的特殊数据库构造语句不能被正确的解析而在云端业务系统生成数据库语句并提交到后台数据库进行合法的执行,造成数据库注入测试无法成功。
现有的数据库注入测试语句,要么是提供了基本的特殊字符,要么只有简单的数据库构造语句,只能对没有WAF或者无数据库注入过滤机制的业务系统进行测试。这些语句很多过于简单,且增加了安全测试的时间,以现在比较流行的数据库注入工具啊D、明小子为例,数据库注入测试语句仅仅是简单的单引号,and,or等语句;由于WAF的存在,通常这些特殊字都会被转义掉,无法让云端业务系统最后生成的数据库语句在提交到数据库后合法的执行,导致了数据库注入测试的局限性,也给安全测试工作带来了很多的不便。
发明内容
发明目的:本申请的目的在于提供一种基于数据库注入测试的安全测试系统,解决现有技术中数据库注入测试精确度和智能性低的缺陷。
技术方案:本发明提供了一种基于数据库注入测试的安全测试系统,包括:语音请求录入模块、语音识别模块、文字请求录入模块、文字识别模块、响应监听模块、消息识别模块、信息收集模块、信息发送模块和客户端;其中,
语音请求录入模块被配置为接收语音数据注入请求,并将其传输至语音识别模块以供识别,得到第一注入请求;
文字请求录入模块被配置为接收文字数据注入请求,并将其传输至文字识别模块以供识别,得到第二注入请求;
响应监听模块的输入分别与语音识别模块及文字识别模块的输出连接,被配置为对第一注入请求和/或第二注入请求以及其响应信息进行辅助监听;
消息识别模块被配置为识别第一注入请求和第二注入请求及二者的响应信息是否异常,并将识别结果发送至信息收集模块;
信息收集模块与信息发送模块分别被配置为对接收的信息进行存储和并向客户端发送。
进一步地,消息识别模块包括安全智能单元、安全监测单元、安全信息处理单元、危险监测单元和危险信息处理单元;
安全智能单元被配置为根据大数据算法生成的比对信息判定接收的注入请求及对应的响应信息是否安全,并将对应的安全信息传输至安全监测单元,经对应的危险信息传输至危险监测单元;
安全监测单元被配置为根据大数据算法生成的安全信息对安全信息进行监测并传输至安全信息处理单元,以供安全信息处理单元处理后传输至信息收集模块;
危险监测单元被配置为根据大数据算法生成的危险信息对危险信息进行检测并传输至危险信息处理单元,以供危险信息处理单元处理后传输至信息收集模块。
进一步地,信息收集模块包括依次连接的信息库单元、云端被测业务单元、大数据分析单元和大数据处理单元;
信息库单元被配置为对来源于消息识别模块的信息进行统计存储;
云端被测业务单元被配置为从信息库单元获取数据,并根据检测需求将待测数据发送至大数据分析单元。
进一步地,大数据分析单元和大数据处理单元对接收到的数据进行分析处理后发送至信息发送模块。
进一步地,信息发送模块包括编辑单元和无线网络传输单元,编辑单元对来源于信息收集模块的信息进行编辑之后通过无线网络传输单元发送至客户端。
进一步地,客户端可采用PC端或移动终端中的一种或多种。
进一步地,语音请求录入模块采用语音接收芯片,用于接收并将用户发出的语音数据注入请求传输至语音识别模块。
进一步地,文字请求录入模块可采用外接的键盘,用于接收并将用户发出的文字数据注入请求传输至文字识别模块。
有益效果:与现有技术相比,本发明通过利用大数据对注入请求进行分析,能够实现自动识别正常数据库访问和注入攻击,并对注入攻击进行阻断,从而保护了数据库服务器的安全。另外,可以在检测过程中以将信息传输给客户端,反馈危险信息。
附图说明
图1为本申请的安全测试系统的系统结构框图;
图2为本申请的消息识别模块的结构框图;
图3为本申请的信息收集模块的结构框图;
图4为本申请的信息发送模块的结构框图。
具体实施方式
下面结合附图和实施例对本发明做进一步描述:
本发明提供了一种基于数据库注入测试的安全测试系统,如图1所示,包括:语音请求录入模块1、语音识别模块3、文字请求录入模块2、文字识别模块4、响应监听模块5、消息识别模块6、信息收集模块7、信息发送模块8和客户端9。
其中,语音请求录入模块1被配置为接收语音数据注入请求,并将其传输至语音识别模块3以供识别,得到第一注入请求;文字请求录入模块2被配置为接收文字数据注入请求,并将其传输至文字识别模块4以供识别,得到第二注入请求。用户可以根据注入需求选择注入方式。在本实施例中,语音请求录入模块1可采用语音接收芯片,用于接收并将用户发出的语音数据注入请求传输至语音识别模块,以便对语音数据注入请求进行识别;文字请求录入模块2可采用外接的键盘,用于接收并将用户发出的文字数据注入请求传输至文字识别模块,以便对文字数据注入请求进行识别。
响应监听模块5的输入分别与语音识别模块3及文字识别模块4的输出连接,被配置为对第一注入请求和/或第二注入请求以及其响应信息进行辅助监听。
消息识别模块6被配置为识别第一注入请求和第二注入请求及二者的响应信息是否异常,并将识别结果发送至信息收集模块7。具体地,消息识别模块6包括安全智能单元601、安全监测单元602、安全信息处理单元603、危险监测单元604和危险信息处理单元605;安全智能单元601被配置为根据大数据算法生成的比对信息判定接收的注入请求及对应的响应信息是否安全,并将对应的安全信息传输至安全监测单元602,经对应的危险信息传输至危险监测单元604;安全监测单元602被配置为根据大数据算法生成的安全信息对安全信息进行监测并传输至安全信息处理单元603,以供安全信息处理单元603处理后传输至信息收集模块7;危险监测单元604被配置为根据大数据算法生成的危险信息对危险信息进行检测并传输至危险信息处理单元605,以供危险信息处理单元605处理后传输至信息收集模块7。
信息收集模块7与信息发送模块8分别被配置为对接收的信息进行存储和并向客户端9发送。具体地,信息收集模块7包括依次连接的信息库单元701、云端被测业务单元702、大数据分析单元703和大数据处理单元704;信息库单元701被配置为对来源于消息识别模块6的信息进行统计存储;云端被测业务单元702被配置为从信息库单元701获取数据,并根据检测需求将待测数据发送至大数据分析单元703。大数据分析单元703和大数据处理单元704对接收到的数据进行分析处理后发送至信息发送模块8。
信息发送模块8包括编辑单元801和无线网络传输单元802,编辑单元801对来源于信息收集模块7的信息进行编辑之后通过无线网络传输单元802发送至客户端9。
可选地,客户端9可采用PC端或移动终端中的一种或多种,用户通过客户端可以及时获知检测过程中出现的异常信息或危险信息。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
Claims (8)
1.一种基于数据库注入测试的安全测试系统,其特征在于,包括:语音请求录入模块、语音识别模块、文字请求录入模块、文字识别模块、响应监听模块、消息识别模块、信息收集模块、信息发送模块和客户端;其中,
所述语音请求录入模块被配置为接收语音数据注入请求,并将其传输至所述语音识别模块以供识别,得到第一注入请求;
所述文字请求录入模块被配置为接收文字数据注入请求,并将其传输至所述文字识别模块以供识别,得到第二注入请求;
所述响应监听模块的输入分别与所述语音识别模块及所述文字识别模块的输出连接,被配置为对所述第一注入请求和/或所述第二注入请求以及其响应信息进行辅助监听;
所述消息识别模块被配置为识别所述第一注入请求和所述第二注入请求及二者的响应信息是否异常,并将识别结果发送至所述信息收集模块;
所述信息收集模块与所述信息发送模块分别被配置为对接收的信息进行存储和并向所述客户端发送。
2.根据权利要求1所述的系统,其特征在于,所述消息识别模块包括安全智能单元、安全监测单元、安全信息处理单元、危险监测单元和危险信息处理单元;
所述安全智能单元被配置为根据大数据算法生成的比对信息判定接收的注入请求及对应的响应信息是否安全,并将对应的安全信息传输至安全监测单元,经对应的危险信息传输至危险监测单元;
所述安全监测单元被配置为根据大数据算法生成的安全信息对所述安全信息进行监测并传输至所述安全信息处理单元,以供所述安全信息处理单元处理后传输至所述信息收集模块;
所述危险监测单元被配置为根据大数据算法生成的危险信息对所述危险信息进行检测并传输至所述危险信息处理单元,以供所述危险信息处理单元处理后传输至所述信息收集模块。
3.根据权利要求1所述的系统,其特征在于,所述信息收集模块包括依次连接的信息库单元、云端被测业务单元、大数据分析单元和大数据处理单元;
所述信息库单元被配置为对来源于所述消息识别模块的信息进行统计存储;
所述云端被测业务单元被配置为从所述信息库单元获取数据,并根据检测需求将待测数据发送至所述大数据分析单元。
4.根据权利要求3所述的系统,其特征在于,所述大数据分析单元和所述大数据处理单元对接收到的数据进行分析处理后发送至信息发送模块。
5.根据权利要求1所述的系统,其特征在于,所述信息发送模块包括编辑单元和无线网络传输单元,所述编辑单元对来源于信息收集模块的信息进行编辑之后通过所述无线网络传输单元发送至所述客户端。
6.根据权利要求1所述的系统,其特征在于,所述客户端可采用PC端或移动终端中的一种或多种。
7.根据权利要求1~6中任一项所述的系统,其特征在于,所述语音请求录入模块采用语音接收芯片,用于接收并将用户发出的语音数据注入请求传输至所述语音识别模块。
8.根据权利要求1~6中任一项所述的系统,其特征在于,所述文字请求录入模块可采用外接的键盘,用于接收并将用户发出的文字数据注入请求传输至所述文字识别模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010715095.0A CN111934949A (zh) | 2020-07-23 | 2020-07-23 | 一种基于数据库注入测试的安全测试系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010715095.0A CN111934949A (zh) | 2020-07-23 | 2020-07-23 | 一种基于数据库注入测试的安全测试系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111934949A true CN111934949A (zh) | 2020-11-13 |
Family
ID=73315290
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010715095.0A Pending CN111934949A (zh) | 2020-07-23 | 2020-07-23 | 一种基于数据库注入测试的安全测试系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111934949A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114500033A (zh) * | 2022-01-24 | 2022-05-13 | 北京华云安信息技术有限公司 | 一种验证应用服务器的方法、装置、计算机设备和介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9479526B1 (en) * | 2014-11-13 | 2016-10-25 | Shape Security, Inc. | Dynamic comparative analysis method and apparatus for detecting and preventing code injection and other network attacks |
| CN106357696A (zh) * | 2016-11-14 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种sql注入攻击检测方法及系统 |
| CN107145786A (zh) * | 2017-05-08 | 2017-09-08 | 四川长虹电器股份有限公司 | 基于数据库注入测试的安全测试系统及方法 |
| CN107301234A (zh) * | 2017-06-27 | 2017-10-27 | 国网浙江省电力公司宁波供电公司 | 一种基于调控非典型数据的语音和文字交互系统 |
| CN108521408A (zh) * | 2018-03-22 | 2018-09-11 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
-
2020
- 2020-07-23 CN CN202010715095.0A patent/CN111934949A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9479526B1 (en) * | 2014-11-13 | 2016-10-25 | Shape Security, Inc. | Dynamic comparative analysis method and apparatus for detecting and preventing code injection and other network attacks |
| CN106357696A (zh) * | 2016-11-14 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种sql注入攻击检测方法及系统 |
| CN107145786A (zh) * | 2017-05-08 | 2017-09-08 | 四川长虹电器股份有限公司 | 基于数据库注入测试的安全测试系统及方法 |
| CN107301234A (zh) * | 2017-06-27 | 2017-10-27 | 国网浙江省电力公司宁波供电公司 | 一种基于调控非典型数据的语音和文字交互系统 |
| CN108521408A (zh) * | 2018-03-22 | 2018-09-11 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114500033A (zh) * | 2022-01-24 | 2022-05-13 | 北京华云安信息技术有限公司 | 一种验证应用服务器的方法、装置、计算机设备和介质 |
| CN114500033B (zh) * | 2022-01-24 | 2023-12-05 | 北京华云安信息技术有限公司 | 一种验证应用服务器的方法、装置、计算机设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106572117B (zh) | 一种WebShell文件的检测方法和装置 | |
| CN110266669A (zh) | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 | |
| CN101751530B (zh) | 检测漏洞攻击行为的方法及设备 | |
| CN110866258B (zh) | 快速定位漏洞方法、电子装置及存储介质 | |
| CN110602029A (zh) | 一种用于识别网络攻击的方法和系统 | |
| CN110879889A (zh) | Windows平台的恶意软件的检测方法及系统 | |
| CN113158197B (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
| CN116842531B (zh) | 基于代码疫苗的漏洞实时验证方法、装置、设备及介质 | |
| CN113987504A (zh) | 一种网络资产管理的漏洞检测方法 | |
| CN112688966A (zh) | webshell检测方法、装置、介质和设备 | |
| CN114760106A (zh) | 网络攻击的确定方法、系统、电子设备及存储介质 | |
| CN115827610A (zh) | 一种有效负荷的检测方法及装置 | |
| CN109657462B (zh) | 数据检测方法、系统、电子设备和存储介质 | |
| CN114844689A (zh) | 一种基于有限状态机的网站逻辑漏洞检测方法及系统 | |
| CN108804501B (zh) | 一种检测有效信息的方法及装置 | |
| CN114036526A (zh) | 漏洞测试方法、装置、计算机设备和存储介质 | |
| CN111934949A (zh) | 一种基于数据库注入测试的安全测试系统 | |
| CN108959860A (zh) | 一种检测Android系统是否被破解和破解记录获取方法 | |
| CN111046382B (zh) | 数据库审计方法、设备、存储介质及装置 | |
| CN108427882B (zh) | 基于行为特征抽取的安卓软件动态分析检测法 | |
| CN111885088A (zh) | 基于区块链的日志监测方法及装置 | |
| CN116186716A (zh) | 一种面向持续集成部署的安全分析方法及装置 | |
| CN115391230A (zh) | 一种测试脚本生成、渗透测试方法、装置、设备及介质 | |
| CN109271781B (zh) | 一种基于内核的应用程序获取超级权限行为检测方法与系统 | |
| CN111970272A (zh) | 一种apt攻击操作识别方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201113 |