-
题名网络攻击与防御技术的研究与实践
被引量:49
- 1
-
-
作者
魏为民
袁仲雄
-
机构
上海电力学院计算机与信息工程学院
-
出处
《信息网络安全》
2012年第12期53-56,共4页
-
基金
上海市自然科学基金[11ZR1414300]
上海市教育委员会科研创新项目[11YZ194]
-
文摘
网络攻击与防御是信息安全领域的核心内容,采用攻防角色分组的情境实践模式,将其分解为扫描、网络嗅探、口令破解、欺骗攻击、拒绝服务攻击、缓冲区溢出攻击、Web攻击、SQL注入攻击、木马攻击、计算机病毒、手机病毒、防火墙与入侵检测等12个专题,对应12个学生小组,每组6名学生,攻击和防御各半。通过课程实践,有效培养学生的实际动手能力、自主学习、分析问题、解决问题的能力,以及团队协作和组织能力。
-
关键词
网络攻击与防御
口令破解
欺骗攻击
sql注入攻击
-
Keywords
network attacks and defense
password cracker
spoofing attacks
sql injection
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名正则表达式在电子政务客户端校验中的应用
被引量:16
- 2
-
-
作者
王功明
吴华瑞
赵春江
杨宝祝
-
机构
国家农业信息化工程技术研究中心
-
出处
《计算机工程》
CAS
CSCD
北大核心
2007年第9期269-271,共3页
-
基金
国家科技攻关计划基金资助项目(2003BA808A16)
科技部农业科技成果转化资金资助项目(04EFN211100002)
-
文摘
SQL注入技术通过输入带有SQL关键字的语句破坏后台数据库查询语句完整性,进而开展客户端攻击,危害性很强,此外,不合规范的输入数据,也加重系统负担,降低系统可靠性。所以电子政务系统安全性、可靠性亟待提高。正则表达式具有很强的模式匹配功能,可以用来校验各种类型数据。加入正则表达式校验层,扩充传统三层B/S架构至四层后,通过校验客户端输入数据,能够遏制某些客户端攻击,在一定程度上提高电子政务系统安全性、可靠性。在电子政务系统建设中应用该项技术,取得了优良的效果。
-
关键词
电子政务
正则表达式
数据校验
数据锁
sql注入
-
Keywords
E-Gov
Regular expressions
Data verifying
Data lock
sql injection
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名基于改进网络爬虫技术的SQL注入漏洞检测
被引量:19
- 3
-
-
作者
彭赓
范明钰
-
机构
电子科技大学计算机科学与工程学院
-
出处
《计算机应用研究》
CSCD
北大核心
2010年第7期2605-2607,共3页
-
基金
国家"863"计划资助项目(2009AA01Z403
2009AA01Z435)
-
文摘
网络爬虫在搜索引擎领域广泛使用,SQL注入漏洞检测属于Web服务和数据库安全的范畴。为了提高网站的安全性,及时、有效地发现网站存在的SQL注入漏洞,改进了现有的网络爬虫技术,应用到对网站SQL注入漏洞的检测中,丰富了检测的手段,降低了检测的漏报率。最后通过实验证明了该技术的可行性。
-
关键词
搜索引擎
网络爬虫
正则表达式
sql注入
统一资源定位符
-
Keywords
search engine
Web crawler
regular expression
sql injection
URL
-
分类号
TP309.1
[自动化与计算机技术—计算机系统结构]
-
-
题名SQL注入漏洞多等级检测方法研究
被引量:18
- 4
-
-
作者
练坤梅
许静
田伟
张莹
-
机构
南开大学信息技术科学学院
-
出处
《计算机科学与探索》
CSCD
2011年第5期474-480,共7页
-
基金
天津市科技攻关项目 No.08ZCKFGX01100~~
-
文摘
在深入分析SQL(structured query language)注入攻击特点、攻击方式及SQL注入漏洞相关防御机制的基础上,依据防御度的高低对SQL注入漏洞进行分级。将漏洞分级作为SQL注入模糊测试用例等价类划分的依据,对SQL注入参数进行优化选择后,模拟黑客攻击的方式主动地、有针对性地进行检测。SQL注入参数的等价类划分保证了模糊测试过程的完备性和无冗余性。
-
关键词
漏洞检测
结构化查询语言(sql)
sql注入
分级
模糊测试
等价类划分
-
Keywords
vulnerability detection
structured query language(sql)
sql injection
grading
fuzz testing
equivalence partitioning
-
分类号
TP311
[自动化与计算机技术—计算机软件与理论]
-
-
题名基于正则表示的SQL注入过滤模块设计
被引量:16
- 5
-
-
作者
王伟平
李昌
段桂华
-
机构
中南大学信息科学与工程学院
-
出处
《计算机工程》
CAS
CSCD
北大核心
2011年第5期158-160,共3页
-
基金
国家自然科学基金资助项目(60873265)
-
文摘
研究SQL注入攻击行为及语法特征,采用正则表达式对攻击特征进行描述,在此基础上设计Web服务端SQL注入攻击过滤模块,使Http请求被提交至系统模块处理前实现注入攻击检查。测试结果表明,与单纯基于关键字的过滤相比,基于正则表示的过滤具有更高的识别率和较低的误报率,加载了过滤模块的Web服务器能较好地拦截多种SQL注入攻击,并且服务延迟较小。
-
关键词
sql注入
正则表示
服务端防御
-
Keywords
sql injection
regular expression
server defense
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名基于SVM的Web攻击检测技术
被引量:17
- 6
-
-
作者
吴少华
程书宝
胡勇
-
机构
四川大学电子信息学院
-
出处
《计算机科学》
CSCD
北大核心
2015年第S1期362-364,共3页
-
基金
国家计算机网络与信息管理中心242课题资助
-
文摘
针对各种变形Web攻击难以检测的问题,分析SQL注入和跨站攻击特征的选择和提取的一般方法,利用人工挑选和数学统计概括出6个特征,将原始攻击载荷转换成固定维数的特征向量,标记特征选择和提取后的样本数据,进行支持向量机算法的训练和分类。借助机器学习工具Weka验证了该检测方案的可行性。
-
关键词
sql注入
跨站脚本
Web攻击检测
特征选择与提取
支持向量机
-
Keywords
sql injection,Cross site scripting,Web attack detection,Feature selection and extraction,Support vector machine
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名面向网络环境的SQL注入行为检测方法
被引量:15
- 7
-
-
作者
赵宇飞
熊刚
贺龙涛
李舟军
-
机构
北京航空航天大学计算机学院
中国科学院信息工程研究所
国家计算机网络应急技术处理协调中心
-
出处
《通信学报》
EI
CSCD
北大核心
2016年第2期88-97,共10页
-
基金
国家高技术研究发展计划("863"计划)基金资助项目(No.2015AA016004)
国家自然科学基金资助项目(No.61170189
+4 种基金
No.61370126)
教育部博士点基金资助项目(No.20111102130003)
国家科技支撑计划基金资助项目(No.2012BAH46B02
No.2012BAH46B04)
中国科学院战略性先导科技专项课题基金资助项目(No.XDA06030200)~~
-
文摘
SQL注入攻击是Web应用面临的主要威胁之一,传统的检测方法针对客户端或服务器端进行。通过对SQL注入的一般过程及其流量特征分析,发现其在请求长度、连接数以及特征串等方面,与正常流量相比有较大区别,并据此提出了基于长度、连接频率和特征串的LFF(length-frequency-feature)检测方法,首次从网络流量分析的角度检测SQL注入行为。实验结果表明,在模拟环境下,LFF检测方法召回率在95%以上,在真实环境下,该方法也取得较好的检测效果。
-
关键词
WEB安全
sql注入
网络流量
异常检测
-
Keywords
Web security, sql injection, network traffic, outlier detection
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名Web应用防火墙的设计与实现
被引量:15
- 8
-
-
作者
王宇
陆松年
-
机构
上海交通大学电子信息与电气工程学院
-
出处
《信息安全与通信保密》
2011年第5期104-106,共3页
-
文摘
大部分Web应用都存在安全漏洞从而为攻击者提供了一扇攻击的大门,并且传统安全设备如网络防火墙、入侵检测系统只能保护开放系统互连(OSI)参考模型的较低层,并不能有效防御应用层的攻击。在分析了主流的Web应用层的攻击方法后提出一个Web应用防火墙的整个实现架构和一些过滤策略。Web应用防火墙用Python实现,经测试,可以有效地阻止各种恶意的攻击,如SQL注入、跨站脚本攻击和应用层拒绝服务攻击。
-
关键词
WEB应用防火墙
sql注入
跨站攻击
应用层拒绝服务攻击
-
Keywords
Web application firewall
sql injection
XSS
application layer DDoS
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名SQL注入攻击及其防范检测技术的研究
被引量:13
- 9
-
-
作者
刘帅
-
机构
武汉大学软件工程国家重点实验室
商丘职业技术学院
-
出处
《电脑知识与技术》
2009年第10期7870-7872,7898,共4页
-
文摘
该文简要介绍了SQL注入攻击的概念和原理,以及SQL注入攻击的特点和实现过程,并在此基础上叙述了如何检测SQL注入攻击.总结了一般的SQL注入攻击的防范方法并且给出一种自动防范模型。
-
关键词
sql注入
黑客攻击
自动防范
-
Keywords
sql injection
hacker attacks
prevent automatically
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名新型SQL注入及其防御技术研究与分析
被引量:14
- 10
-
-
作者
李鑫
张维纬
隋子畅
郑力新
-
机构
华侨大学工学院
东北林业大学信息与计算机工程学院
-
出处
《信息网络安全》
2016年第2期66-73,共8页
-
基金
福建省自然科学基金[2015J05125]
福建省科技厅专项资助项目[2013H2002]
+2 种基金
华侨大学研究生科研创新能力培育计划资助项目[1400422005]
华侨大学科研基金资助项目[13BS415]
泉州市科技计划项目[2014Z112]
-
文摘
SQL注入严重威胁Web安全,并在近些年发展出新的技术。当前研究主要集中于对传统SQL注入技术的检测与防御,而忽视了新型SQL注入技术。文章在介绍传统SQL注入和现有防御技术的基础上,详细介绍了3种新型SQL注入技术——客户端SQL注入、防注检测绕过和二阶SQL注入,并从注入的效果、防御方法等方面对传统与新型SQL注入技术进行了分析比较。对注入效果的分析结果表明,新型SQL注入技术具有危害大、影响范围广、依赖手工实施等特点;对防御方法的分析结果表明,新型SQL注入技术虽然能够突破一些传统的防御方案,但是依赖现有防御技术能够对其进行有效防御。文章并在分析的最后针对每一种技术提出了适合的Web防御方案。
-
关键词
sql注入
WEB安全
Web防御
-
Keywords
sql injection
Web security
Web defense
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名网络数据库安全初探
被引量:14
- 11
-
-
作者
于翔
阎宏印
刘泳
-
机构
太原理工大学计算机与软件学院
-
出处
《科技情报开发与经济》
2007年第10期183-185,共3页
-
文摘
论述了网络环境下数据库所面临的安全威胁,分析了提高网络数据库安全性的解决办法。
-
关键词
网络数据库
数据库安全
sql注入
-
Keywords
network database
database security
sql injection
-
分类号
TP393.07
[自动化与计算机技术—计算机应用技术]
-
-
题名基于ASP技术网站建设的安全性研究
被引量:13
- 12
-
-
作者
华军
邓晓红
张建忠
-
机构
南开大学计算机科学与技术系
华北计算技术研究所
-
出处
《计算机工程与应用》
CSCD
北大核心
2003年第33期165-167,174,共4页
-
基金
天津自然基金资助项目(编号:013800211)
-
文摘
针对当前许多网站中存在的安全问题,文章分析讨论了网站建设中几种由于程序或系统设置引起的安全性问题的原因,并给出了相应的解决办法。在此基础上,从三个层次给出了加强网站安全性的建议,在实践中对网站建设者有较大的帮助。
-
关键词
ASP
网站建设
安全性
sql攻击
内存泄漏
-
Keywords
Active Server Pages(ASP),Website building,Secur ity,sql injection,Memory leak
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名SQL注入漏洞的分析及防范
被引量:12
- 13
-
-
作者
钟增胜
-
机构
重庆工商大学招生就业处
-
出处
《重庆工商大学学报(自然科学版)》
2005年第6期592-596,共5页
-
文摘
阐述了SQL注入的原理,对SQL注入的一般思路进行了详细分析;通过整形参数和字符串参数来判断是否存在注入漏洞,再通过判断数据库类型和数据库表名及字段名来达到注入的不同目的;介绍了多种注入方式,并从服务器管理员和程序员2个方面对SQL注入漏洞提出了防范措施。
-
关键词
ASP
sql注入
入侵攻击
安全防范
-
Keywords
ASP
sql injection
attack
security protection
-
分类号
TP391
[自动化与计算机技术—计算机应用技术]
-
-
题名Web应用中的SQL注入攻击与防护方案研究
被引量:11
- 14
-
-
作者
蒋继娅
刘彤
王树威
-
机构
北京市科学技术情报研究所
-
出处
《计算机安全》
2008年第5期9-12,共4页
-
文摘
SQL注入是Web应用中常见的一种攻击方法,危害性极大,网络开发工程师通过严密的编程和设计,可以避免该类攻击的发生。该文介绍了SQL注入的攻击方法,并提出了一个基于JSP+tomcat5+SQLServer2000应用的防护模型,经过适当修改也可以用于其他类型的Web应用中。
-
关键词
sql注入
攻击
防护模型
-
Keywords
sql injection
attack
prevention model
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
TP393
[自动化与计算机技术—计算机科学与技术]
-
-
题名网络环境下的数据库安全及防范
被引量:12
- 15
-
-
作者
于翔
阎宏印
-
机构
太原理工大学计算机与软件学院
-
出处
《网络安全技术与应用》
2007年第7期76-78,共3页
-
文摘
本文从保密性、完整性、一致性和可用性四个角度分析了网络环境下数据库所面临的安全威胁。为了提高网络数据库的安全性,从网络和操作系统防护、数据加密处理和网络安全传输、DBMS安全机制、数据库SQL注入防范等方面进行了分析,并提出了相应解决办法。
-
关键词
网络数据库
数据库安全
sql注入
-
Keywords
Network database
Security of the database
sql injection
-
分类号
TP311.13
[自动化与计算机技术—计算机软件与理论]
-
-
题名基于SVM和文本特征向量提取的SQL注入检测研究
被引量:12
- 16
-
-
作者
李红灵
邹建鑫
-
机构
云南大学信息学院计算机科学与工程系
-
出处
《信息网络安全》
CSCD
2017年第12期40-46,共7页
-
基金
国家自然科学基金[61562090]
-
文摘
SQL注入攻击具有危害大、攻击类型多、变异快、攻击隐蔽等特点,备受关注。文章提出一种基于SVM和文本特征向量提取的SQL注入检测技术,该技术结合了机器学习和自然语言统计技术。检测过程分为文本分析、特征提取和分类3个主要部分。SQL注入检测包括文本采集、基本特征提取、变形特征的数据统计、文本空间向量模型建立、模型训练、产生分类器、进行分类并得出分类结果等过程。实验结果显示,基于SVM和文本特征向量提取进行SQL注入检测具有很好的分类效果。依据机器学习评价训练模型的边缘曲线、混淆矩阵、效果分析、敏感性分析、特异性分析等评价方法结果显示,经过学习得到的SQL注入检测分类模型有较高的检测率。
-
关键词
SVM
文本特征
sql注入
检测
提取
-
Keywords
SVM
text feature
sql injection
detection
extraction
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名基于SQL Server的SQL注入攻击防范方法
被引量:9
- 17
-
-
作者
黄明辉
-
机构
湖北三峡职业技术学院
-
出处
《计算机安全》
2008年第8期122-124,共3页
-
文摘
在基于SQL Server服务器的Web应用程序中,确保安全性是一个重要而复杂的问题。该文针对SQL Server数据库的安全性,介绍了SQL注入攻击概念及几种常用的攻击方法,从两个方面提出了一些防范SQL注入攻击方法,最大限度地减少SQL注入攻击的可能性,尽可能保证SQL Server数据库的安全性。
-
关键词
sql
SERVER数据库
sql注入攻击
安全
防范方法
-
Keywords
sql Server database
sql injection
security
guard method
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
TP393.098
[自动化与计算机技术—计算机科学与技术]
-
-
题名SQL Injection分析与防范
被引量:8
- 18
-
-
作者
赵文龙
朱俊虎
王清贤
-
机构
信息工程大学信息工程学院网络工程系
-
出处
《计算机工程与设计》
CSCD
北大核心
2006年第2期300-302,306,共4页
-
文摘
SQLInjection是当前网站安全的主要问题之一。首先阐述了SQLInjection网络攻击的基本原理,然后对黑客利用SQLInjection技术攻击的一般过程进行了分析。在此基础上针对SQL Injection攻击的具体预防措施进行了详细的分析和研究,并且提出了现有防范技术所存在的一些问题及其解决方法。
-
关键词
sql
injection
网络安全
网络攻击
正则表达式
-
Keywords
sql injection
security of network
attack of network
regular expression
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名基于SQL注入的渗透性测试技术研究
被引量:8
- 19
-
-
作者
余静
高丰
徐良华
朱鲁华
-
机构
江南计算技术研究所
-
出处
《计算机工程与设计》
CSCD
北大核心
2007年第15期3577-3579,共3页
-
文摘
为了提高数据库系统的安全性,及时发现、防范网站中可能存在的SQL注入漏洞,分析了基于SQL注入的渗透性测试技术,在此基础上提出了渗透性测试的原型系统,给出了主要的功能,通过对动网论坛的渗透性测试分析比较了原型系统的效能。实验表明,该原型系统能较好发现系统的SQL注入的脆弱点,从而帮助管理员提升系统的安全性。
-
关键词
渗透测试
sql注入
代码注入
函数注入
缓冲区溢出
-
Keywords
penetration testing
sql injection
code injection
function call injection
buffer overflow
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名基于规则库和网络爬虫的漏洞检测技术研究与实现
被引量:11
- 20
-
-
作者
杜雷
辛阳
-
机构
北京邮电大学信息安全中心
-
出处
《信息网络安全》
2014年第10期38-43,共6页
-
基金
国家自然科学基金[61121061
61161140320]
+1 种基金
中央高校基本科研业务费专项资金[2012RC0215
2012RC0216]
-
文摘
Web技术是采用HTTP或HTTPS协议对外提供服务的应用程序,Web应用也逐渐成为软件开发的主流之一,但Web应用中存在的各种安全漏洞也逐渐暴露出来,如SQL注入、XSS漏洞,给人们带来巨大的经济损失。为解决Web网站安全问题,文章通过对Web常用漏洞如SQL注入和XSS的研究,提出了一种新的漏洞检测方法,一种基于漏洞规则库、使用网络爬虫检测SQL注入和XSS的技术。网络爬虫使用HTTP协议和URL链接来遍历获取网页信息,通过得到的网页链接,并逐步读取漏洞规则库里的规则,构造成可检测出漏洞的链接形式,自动对得到的网页链接发起GET请求以及POST请求,这个过程一直重复,直到规则库里的漏洞库全部读取构造完毕,然后继续使用网络爬虫和正则表达式获取网页信息,重复上述过程,这样便实现了检测SQL注入和XSS漏洞的目的。此方法丰富了Web漏洞检测的手段,增加了被检测网页的数量,同时涵盖了HTTP GET和HTTP POST两种请求方式,最后通过实验验证了利用此技术对Web网站进行安全检测的可行性,能够准确检测网站是否含有SQL注入和XSS漏洞。
-
关键词
网络爬虫
sql注入
XSS漏洞
规则库
-
Keywords
Web Crawler
sql injection
XSS vulnerabilities
rule base
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
