CN117056934A - Sql注入漏洞定位检测方法、装置、电子设备及存储介质 - Google Patents
Sql注入漏洞定位检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117056934A CN117056934A CN202310952477.9A CN202310952477A CN117056934A CN 117056934 A CN117056934 A CN 117056934A CN 202310952477 A CN202310952477 A CN 202310952477A CN 117056934 A CN117056934 A CN 117056934A
- Authority
- CN
- China
- Prior art keywords
- sql
- database
- sql injection
- query
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000002347 injection Methods 0.000 title claims abstract description 77
- 239000007924 injection Substances 0.000 title claims abstract description 77
- 238000001514 detection method Methods 0.000 title claims abstract description 32
- 238000000034 method Methods 0.000 claims abstract description 23
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 13
- 239000008186 active pharmaceutical agent Substances 0.000 claims abstract description 12
- 238000001914 filtration Methods 0.000 claims abstract description 12
- 230000006870 function Effects 0.000 claims description 11
- 230000004807 localization Effects 0.000 claims description 8
- 230000014509 gene expression Effects 0.000 claims description 5
- 238000012795 verification Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 claims description 2
- 238000012546 transfer Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 11
- 230000009286 beneficial effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000008439 repair process Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/242—Query formulation
- G06F16/2433—Query languages
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请提供了一种SQL注入漏洞定位检测方法、装置、电子设备及存储介质,所述方法包括:对用户输入的数据进行验证和过滤,并将输入的数据作为参数传递至预编译的SQL语句中;将参数化后的查询语句发送至数据库中,通过利用数据库访问API以执行参数化查询,其中,所述参数化查询用以防止SQL注入攻击;记录与数据库相关的异常行为和SQL查询操作;通过漏洞扫描工具对应用程序进行定期扫描,以检测是否存在SQL注入漏洞。本申请所述的SQL注入漏洞定位检测方法能够有效解决遭受频繁的SQL注入攻击导致的应用程序出现安全漏洞,能够实现SQL注入漏洞的定位检测,降低应用程序被攻击的风险,保护用户数据和系统的安全性。
Description
技术领域
本申请属于SQL注入漏洞定位检测领域,尤其涉及一种SQL注入漏洞定位检测方法、装置、电子设备及存储介质。
背景技术
SQL注入攻击是指攻击者在合法SQL语句中插入SQL关键字或操作符从而改变SQL语句的语义、语法结构,将这些恶意的SQL语句提交给数据库,获取用户名密码等敏感信息,进而获取主机控制权限等。
SQL注入可以分为平台层注入和代码层注入。前者是由不安全的数据库配置或数据库平台的漏洞造成的;后者主要是程序员没有仔细过滤输入,从而执行非法数据查询。
由于SOL的广泛使用导致了SOL注入所造成的影响非常大,如果网站存在SOL注入漏洞,攻击者可以轻松获得管理员账号、密码,从而任意删改网站上所发布的信息,甚至还可以上传些木马程序,从而控制整个服务器。
发明内容
有鉴于此,本申请旨在提出一种SQL注入漏洞定位检测方法、装置、电子设备及存储介质,能够及时发现潜在的数据风险,并采取措施加固和修复,以避免数据泄露和损坏。
为达到上述目的,本申请的技术方案是这样实现的:
第一方面,本申请提供了一种SQL注入漏洞定位检测方法,所述方法包括:
对用户输入的数据进行验证和过滤,并将输入的数据作为参数传递至预编译的SQL语句中;
将参数化后的查询语句发送至数据库中,通过利用数据库访问API以执行参数化查询,其中,所述参数化查询用以防止SQL注入攻击;
记录与数据库相关的异常行为和SQL查询操作;
通过漏洞扫描工具对应用程序进行定期扫描,以检测是否存在SQL注入漏洞。
第二方面,基于同一发明构思,本申请还提供了一种SQL注入漏洞定位检测装置,所述装置包括:
验证过滤模块,被配置为对用户输入的数据进行验证和过滤,并将输入的数据作为参数传递至预编译的SQL语句中;
参数化查询模块,被配置为将参数化后的查询语句发送至数据库中,通过利用数据库访问API以执行参数化查询,其中,所述参数化查询用以防止SQL注入攻击;
记录模块,被配置为记录与数据库相关的异常行为和SQL查询操作;
扫描模块,被配置为通过漏洞扫描工具对应用程序进行定期扫描,以检测是否存在SQL注入漏洞。
第三方面,基于同一发明构思,本申请还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述的SQL注入漏洞定位检测方法。
第四方面,基于同一发明构思,本申请还提供了一种非暂态计算机可读存储介质,其中,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如第一方面所述的SQL注入漏洞定位检测方法。
相对于现有技术,本申请所述的SQL注入漏洞定位检测方法、装置、电子设备及存储介质具有以下有益效果:
本申请所述的SQL注入漏洞定位检测方法、装置、电子设备及存储介质,所述SQL注入漏洞定位检测方法通过对用户输入的数据进行验证和过滤,并将输入的数据作为参数传递至预编译的SQL语句中;将参数化后的查询语句发送至数据库中,通过利用数据库访问API以执行参数化查询,其中,所述参数化查询用以防止SQL注入攻击;记录与数据库相关的异常行为和SQL查询操作;通过漏洞扫描工具对应用程序进行定期扫描,以检测是否存在SQL注入漏洞;本实施例所述方法能够有效解决遭受频繁的SQL注入攻击导致的应用程序出现安全漏洞,能够实现SQL注入漏洞的定位检测,降低应用程序被攻击的风险,保护用户数据和系统的安全性,同时,可以及时发现潜在的数据风险,并采取措施加固和修复,以避免数据泄露和损坏。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例所述的SQL注入漏洞定位检测方法流程图;
图2为本申请实施例所述的SQL注入漏洞定位检测装置结构示意图;
图3为本申请实施例所述的电子设备的硬件结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本申请进一步详细说明。
需要说明的是,除非另外定义,本申请实施例使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
以下结合附图详细说明本申请的实施例。
请参阅图1所示,本申请一个实施例的SQL注入漏洞定位检测方法,包括以下步骤:
步骤S101、对用户输入的数据进行验证和过滤,并将输入的数据作为参数传递至预编译的SQL语句中。
在一些实施方式中,根据预设的数据类型验证用户输入的数据是否符合要求;
将用户输入的数据中的特殊字符通过正则表达式或字符替换函数进行过滤,以防止恶意代码注入;
对于包含引号的字符串输入,使用转移函数对其进行处理,以阻止破坏SQL语句的结构;
将验证和过滤后的输入数据作为参数传递至预编译的SQL语句中。
具体地,使用正则表达式或字符替换函数过滤特殊字符:通过正则表达式或字符替换函数,对用户输入的数据进行过滤,去除或替换掉可能引起注入的特殊字符。例如,可以使用正则表达式将除了允许的字符以外的字符删除或替换为空。
转义引号:对于包含引号的字符串输入,本实施例使用转义函数(如mysql_real_escape_string)对其进行处理,将引号转义为安全的格式,以防止破坏SQL语句的结构。
使用预编译的SQL语句和参数化查询:将验证和过滤后的输入数据作为参数传递给预编译的SQL语句中,而不是直接将输入数据拼接到SQL语句中。这样可以避免注入攻击,因为参数化查询会将参数值与SQL语句分开处理,确保输入数据不会被解释为SQL代码。
在一些实施方式中,对于字符串类型的输入数据,验证其长度是否符合预设要求,对不符合预设要求的输入数据进行截断并提醒。
具体地,在接受用户输入之前,对输入数据的长度进行验证,通过获取输入数据的长度,并与预设要求进行比较,判断是否符合预设要求,所述预设要求根据实际情况进行灵活设置,这里不作进一步限定。
对于长度超过预设要求的输入数据,选择截断字符串,并提醒用户输入已被截断,本实施采用字符串切片操作来截断输入数据。
步骤S102、将参数化后的查询语句发送至数据库中,通过利用数据库访问API以执行参数化查询,其中,所述参数化查询用以防止SQL注入攻击。
在一些实施方式中,利用问号或命名参数表示占位符,通过数据库访问API提供的函数,将实际的参数值与占位符进行匹配,并将参数化查询语句发送至数据库服务端;
数据库接收到查询请求后,解析查询语句,并根据参数值进行查询操作。
具体地,本实施例使用了MySQLdb库连接到数据库,并使用MySQLdb.escape_string函数对用户输入进行过滤;然后,使用参数化查询,在执行SQL语句时将过滤后的用户输入作为参数传递给预编译的SQL语句中的占位符%s;最后,使用cursor.fetchall()获取查询结果。
步骤S103、记录与数据库相关的异常行为和SQL查询操作。
在一些实施方式中,通过记录与数据库相关的异常行为,包括数据库连接失败、执行查询操作错误、或者数据库返回异常结果;
通过记录每次执行的SQL查询操作,追踪和监控数据库的访问情况,包括查询的参数、执行时间、返回结果信息。
对于SQL查询操作,给出以下示例:
通过以上步骤,记录数据库相关的异常行为,并追踪和监控数据库的访问情况,包括记录每次执行的SQL查询操作、查询的参数、执行时间和返回结果信息。上述步骤可以及时发现问题并进行排查,提高系统的稳定性和安全性。
步骤S104、通过漏洞扫描工具对应用程序进行定期扫描,以检测是否存在SQL注入漏洞。
在一些实施方式中,根据输入的数据或指定扫描目标URL配置漏洞扫描工具;
通过漏洞扫描工具对应用程序进行定期扫描,并生成扫描报告,其中,所述扫描报告中包含有SQL注入漏洞的详情和风险等级;
对扫描报告中的漏洞详细进行分析,并修复应用程序中的SQL注入漏洞。
具体地,本实施例中,通过定期扫描漏洞并生成报告,分析报告中的漏洞详细信息,并修复应用程序中的SQL注入漏洞,可提高应用程序的安全性,减少潜在的攻击风险。
本实施例所述的SQL注入漏洞定位检测方法通过对用户输入的数据进行验证和过滤,并将输入的数据作为参数传递至预编译的SQL语句中;将参数化后的查询语句发送至数据库中,通过利用数据库访问API以执行参数化查询,其中,所述参数化查询用以防止SQL注入攻击;记录与数据库相关的异常行为和SQL查询操作;通过漏洞扫描工具对应用程序进行定期扫描,以检测是否存在SQL注入漏洞;本实施例所述方法能够有效解决遭受频繁的SQL注入攻击导致的应用程序出现安全漏洞,能够实现SQL注入漏洞的定位检测,降低应用程序被攻击的风险,保护用户数据和系统的安全性,同时,可以及时发现潜在的数据风险,并采取措施加固和修复,以避免数据泄露和损坏。
需要说明的是,上述对本申请的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本申请的实施例还提供了一种SQL注入漏洞定位检测装置。
如图2所示,所述SQL注入漏洞定位检测装置,包括:
验证过滤模块11,被配置为对用户输入的数据进行验证和过滤,并将输入的数据作为参数传递至预编译的SQL语句中;
参数化查询模块12,被配置为将参数化后的查询语句发送至数据库中,通过利用数据库访问API以执行参数化查询,其中,所述参数化查询用以防止SQL注入攻击;
记录模块13,被配置为记录与数据库相关的异常行为和SQL查询操作;
扫描模块14,被配置为通过漏洞扫描工具对应用程序进行定期扫描,以检测是否存在SQL注入漏洞。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本申请的实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述任一实施例中相应的SQL注入漏洞定位检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本申请的实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上任意一实施例所述的SQL注入漏洞定位检测方法。
图3示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的SQL注入漏洞定位检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本申请还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上任一实施例所述的SQL注入漏洞定位检测方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的SQL注入漏洞定位检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本申请的范围(包括权利要求)被限于这些例子;在本申请的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本申请实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本申请实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本申请实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本申请实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本申请的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本申请实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本申请的具体实施例对本申请进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本申请实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本申请实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (9)
1.一种SQL注入漏洞定位检测方法,其特征在于,所述方法包括:
对用户输入的数据进行验证和过滤,并将输入的数据作为参数传递至预编译的SQL语句中;
将参数化后的查询语句发送至数据库中,通过利用数据库访问API以执行参数化查询,其中,所述参数化查询用以防止SQL注入攻击;
记录与数据库相关的异常行为和SQL查询操作;
通过漏洞扫描工具对应用程序进行定期扫描,以检测是否存在SQL注入漏洞。
2.根据权利要求1所述的SQL注入漏洞定位检测方法,其特征在于,所述对用户输入的数据进行验证和过滤,并将输入的数据作为参数传递至预编译的SQL语句中,包括:
根据预设的数据类型验证用户输入的数据是否符合要求;
将用户输入的数据中的特殊字符通过正则表达式或字符替换函数进行过滤,以防止恶意代码注入;
对于包含引号的字符串输入,使用转移函数对其进行处理,以阻止破坏SQL语句的结构;
将验证和过滤后的输入数据作为参数传递至预编译的SQL语句中。
3.根据权利要求2所述的SQL注入漏洞定位检测方法,其特征在于:
对于字符串类型的输入数据,验证其长度是否符合预设要求,对不符合预设要求的输入数据进行截断并提醒。
4.根据权利要求1所述的SQL注入漏洞定位检测方法,其特征在于,所述将参数化后的查询语句发送至数据库中,通过利用数据库访问API以执行参数化查询,其中,所述参数化查询用以防止SQL注入攻击,包括:
利用问号或命名参数表示占位符,通过数据库访问API提供的函数,将实际的参数值与占位符进行匹配,并将参数化查询语句发送至数据库服务端;
数据库接收到查询请求后,解析查询语句,并根据参数值进行查询操作。
5.根据权利要求1所述的SQL注入漏洞定位检测方法,其特征在于,所述记录与数据库相关的异常行为和SQL查询操作,包括:
通过记录与数据库相关的异常行为,包括数据库连接失败、执行查询操作错误、或者数据库返回异常结果;
通过记录每次执行的SQL查询操作,追踪和监控数据库的访问情况,包括查询的参数、执行时间、返回结果信息。
6.根据权利要求1所述的SQL注入漏洞定位检测方法,其特征在于,所述通过漏洞扫描工具对应用程序进行定期扫描,以检测是否存在SQL注入漏洞,包括:
根据输入的数据或指定扫描目标URL配置漏洞扫描工具;
通过漏洞扫描工具对应用程序进行定期扫描,并生成扫描报告,其中,所述扫描报告中包含有SQL注入漏洞的详情和风险等级;
对扫描报告中的漏洞详细进行分析,并修复应用程序中的SQL注入漏洞。
7.一种SQL注入漏洞定位检测装置,其特征在于,所述装置包括:
验证过滤模块,被配置为对用户输入的数据进行验证和过滤,并将输入的数据作为参数传递至预编译的SQL语句中;
参数化查询模块,被配置为将参数化后的查询语句发送至数据库中,通过利用数据库访问API以执行参数化查询,其中,所述参数化查询用以防止SQL注入攻击;
记录模块,被配置为记录与数据库相关的异常行为和SQL查询操作;
扫描模块,被配置为通过漏洞扫描工具对应用程序进行定期扫描,以检测是否存在SQL注入漏洞。
8.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-6任一项所述的SQL注入漏洞定位检测方法。
9.一种非暂态计算机可读存储介质,其特征在于,其中,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行权利要求1-6任一项所述的SQL注入漏洞定位检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310952477.9A CN117056934A (zh) | 2023-07-31 | 2023-07-31 | Sql注入漏洞定位检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310952477.9A CN117056934A (zh) | 2023-07-31 | 2023-07-31 | Sql注入漏洞定位检测方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117056934A true CN117056934A (zh) | 2023-11-14 |
Family
ID=88665490
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310952477.9A Pending CN117056934A (zh) | 2023-07-31 | 2023-07-31 | Sql注入漏洞定位检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117056934A (zh) |
-
2023
- 2023-07-31 CN CN202310952477.9A patent/CN117056934A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11057424B2 (en) | Database query injection detection and prevention | |
| US9953162B2 (en) | Rapid malware inspection of mobile applications | |
| Gupta et al. | JS‐SAN: defense mechanism for HTML5‐based web applications against javascript code injection vulnerabilities | |
| JP5863973B2 (ja) | プログラム実行装置及びプログラム解析装置 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| WO2014078585A2 (en) | Methods, systems and computer readable media for detecting command injection attacks | |
| CN104063664A (zh) | 软件安装包的安全检测方法、客户端、服务器以及系统 | |
| US20160078221A1 (en) | Automated vulnerability and error scanner for mobile applications | |
| CN113342639B (zh) | 小程序安全风险评估方法和电子设备 | |
| US9747449B2 (en) | Method and device for preventing application in an operating system from being uninstalled | |
| CN110417718B (zh) | 处理网站中的风险数据的方法、装置、设备及存储介质 | |
| US11522901B2 (en) | Computer security vulnerability assessment | |
| CN103473501A (zh) | 一种基于云安全的恶意软件追踪方法 | |
| Dalai et al. | Neutralizing SQL injection attack using server side code modification in web applications | |
| Song et al. | Understanding javascript vulnerabilities in large real-world android applications | |
| CN110858247A (zh) | 安卓恶意应用检测方法、系统、设备及存储介质 | |
| CN111460448B (zh) | 一种恶意软件家族检测方法及装置 | |
| KR101461051B1 (ko) | 웹 기능 분석을 통한 악성 코드 탐지방법 및 그 기록매체 | |
| US9398041B2 (en) | Identifying stored vulnerabilities in a web service | |
| US8433798B2 (en) | Altering software behavior based on internet connectivity | |
| US10467423B1 (en) | Static analysis-based tracking of data in access-controlled systems | |
| CN117056934A (zh) | Sql注入漏洞定位检测方法、装置、电子设备及存储介质 | |
| Abawajy | SQLIA detection and prevention approach for RFID systems | |
| KR20130077184A (ko) | 악성코드에 감염된 홈페이지 탐지 장치 및 방법 | |
| KR102538664B1 (ko) | Excel 계열의 문서에서 수식 기능에 있는 Link의 무해화를 위한 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |