-
题名基于SQL语法树的SQL注入过滤方法研究
被引量:10
- 1
-
-
作者
韩宸望
林晖
黄川
-
机构
福建师范大学数学与计算机科学学院
福建师范大学福建省网络安全与密码技术重点实验室
-
出处
《网络与信息安全学报》
2016年第11期70-77,共8页
-
基金
国家自然科学基金资助项目(No.61363068
No.61472083)
+2 种基金
福建省引导基金资助项目(No.2016Y0031)
福州市科技局基金资助项目(No.2015-G-54
No.2015-G-84)~~
-
文摘
Web应用的发展,使其涉及的领域也越来越广。随之而来的安全问题也越来越严重,尤其是SQL注入攻击,给Web应用安全带来了巨大的挑战。针对SQL注入攻击,将基于SQL语法树比较的安全策略引入用户输入过滤的设计中,提出了一种新的SQL注入过滤方法。实验结果表明,该方法能够有效地防止SQL注入攻击,并有较高的拦截率和较低的误报率。
-
关键词
SQL注入攻击
WEB安全
SQL语法树
用户输入过滤
-
Keywords
SQL injection attack, Web security, SQL syntax tree, user input filtering
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名基于代理模式的SQL注入过滤方法
被引量:1
- 2
-
-
作者
韩宸望
林晖
饶绪黎
黄川
-
机构
福建师范大学数学与计算机科学学院
福建师范大学福建省网络安全与密码技术重点实验室
福州职业技术学院信息技术工程系
-
出处
《计算机系统应用》
2018年第1期98-105,共8页
-
基金
国家自然科学基金(61363068
61472083)
+2 种基金
福建省引导基金(2016Y0031)
福州市科技局基金(2015-G-54
2015-G-84)
-
文摘
针对Web安全中的SQL注入问题,提出了一种新的SQL注入过滤方法——LFS(length-frequency-SQL syntax tree)过滤方法.LFS方法包括学习和过滤两个阶段,其中,学习阶段在安全的环境下,通过爬虫和数据库代理构建URL和SQL语句映射表;过滤阶段通过对URL长度、访问频率及SQL语法树这三个方面进行检测,以此实现对用户输入进行过滤,防止SQL注入攻击.仿真实验及结果分析表明LFS方法相较于传统的关键字过滤和正则表达式过滤能够更有效的防止SQL注入攻击.
-
关键词
SQL注入攻击
WEB安全
用户输入过滤
SQL语法树
-
Keywords
SQL injection attack
Web security
user input filtering
SQL syntax tree
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名基于分类的SQL注入攻击双层防御模型研究
被引量:10
- 3
-
-
作者
田玉杰
赵泽茂
王丽君
连科
-
机构
杭州电子科技大学通信工程学院
-
出处
《信息网络安全》
2015年第6期1-6,共6页
-
基金
浙江省自然科学基金[R109000138]
浙江省钱江人才计划[2013R10071]
-
文摘
近几年来,对于SQL注入攻击防御的研究已经取得一些进展,但现有的SQL注入攻击防御措施仍存在局限性。文章针对SQL注入攻击防御中存在的一些问题进行了研究。首先,针对用户输入过滤措施存在对正常数据的误报问题,提出一种基于Http请求分类的用户输入过滤措施;而针对用户输入过滤措施存在对恶意数据的漏报问题,只要增加语法结构比较措施即可。其次,针对语法结构比较措施存在检测效率低的问题,提出一种基于参数化分类的动态查询匹配措施。最后,基于以上两种措施,提出一种基于分类的SQL注入攻击双层防御模型。实验结果表明,该模型对SQL注入攻击有较好的防御能力,可以有效降低用户输入过滤的误报率和漏报率,且提高了语法结构比较措施的检测效率。
-
关键词
SQL注入攻击
用户输入过滤
语法结构比较
防御模型
-
Keywords
SQL injection attack
user input filtering
grammatical structure comparison
defensemodel
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
