基于Fuzzing的SQL注入漏洞檢測(cè)系統(tǒng)研究與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，Web技術(shù)被廣泛應(yīng)用到了各個(gè)領(lǐng)域，比如網(wǎng)上購(gòu)物、繳費(fèi)充值、網(wǎng)上銀行以及各種社交網(wǎng)站。這些Web應(yīng)用給我們帶來(lái)便利的同時(shí)也存在一定的安全隱患。因?yàn)殚_發(fā)系統(tǒng)的程序員技術(shù)水平不同，導(dǎo)致其開發(fā)的Web應(yīng)用難免會(huì)存在漏洞，SQL注入漏洞是最常見的漏洞之一。黑客往往會(huì)利用這些漏洞通過SQL注入的方式挖掘用戶信息，盜取敏感數(shù)據(jù)以謀取巨大利益。所以，對(duì)于檢測(cè)SQL注入漏洞問題的研究有非常重要的現(xiàn)實(shí)意義。
　　本研究介紹了W

2、eb應(yīng)用在安全問題上的嚴(yán)峻形勢(shì)，研究和學(xué)習(xí)國(guó)內(nèi)外在檢測(cè)Web應(yīng)用SQL注入漏洞方面所使用方法的優(yōu)點(diǎn)并分析它們的不足，了解SQL注入漏洞產(chǎn)生的原因、SQL注入攻擊原理以及常用的SQL注入漏洞檢測(cè)方法。針對(duì)目前存在的SQL注入漏洞檢測(cè)系統(tǒng)存在漏報(bào)、誤報(bào)率高的問題，采用多線程的爬蟲技術(shù)，并使用MD5算法對(duì)爬取的鏈接進(jìn)行過濾和去重;提出一種基于Fuzzing技術(shù)的生成測(cè)試用例方法。首先，根據(jù)用例特征的不同建立不同的特征模板。然后，隨機(jī)組合這些測(cè)

3、試用例特征模板，動(dòng)態(tài)生成許多的測(cè)試用例。最后，根據(jù)Web應(yīng)用過濾規(guī)則生成變形規(guī)則對(duì)測(cè)試用例進(jìn)行變形處理。這樣，測(cè)試用例就可以繞過Web應(yīng)用的過濾機(jī)制，提高檢測(cè)出漏洞的準(zhǔn)確率;采用基于DOM樹序列值比對(duì)的頁(yè)面對(duì)比算法檢測(cè)是否存在漏洞;通過使用漏洞量化評(píng)估方法，對(duì)Web應(yīng)用的安全狀況進(jìn)行量化評(píng)估，判斷該Web應(yīng)用的安全等級(jí)。在此基礎(chǔ)上，設(shè)計(jì)并實(shí)現(xiàn)基于Fuzzing的SQL注入漏洞檢測(cè)系統(tǒng)。將本文設(shè)計(jì)實(shí)現(xiàn)的系統(tǒng)與其他檢測(cè)工具進(jìn)行對(duì)比實(shí)驗(yàn)，并通