基于OSGI的防SQL注入系統(tǒng).pdf

1、SQL注入已成為數(shù)據(jù)庫嚴(yán)重的威脅之一,目前主流的防御SQL注入的方式是采取預(yù)編譯SQL以及基于特征庫的過濾,但是這兩種方式在實(shí)際的應(yīng)用中缺乏部署的靈活性和識(shí)別的準(zhǔn)確性。本文在研究國內(nèi)外先進(jìn)滲透技術(shù)的基礎(chǔ)上,結(jié)合目前主流的防范策略,提出了一種系統(tǒng)模型,該模型不僅彌補(bǔ)了現(xiàn)有系統(tǒng)防御方式單一,而且解決了傳統(tǒng)的SQL注入防御系統(tǒng)通用性不強(qiáng)的缺點(diǎn),并最終設(shè)計(jì)開發(fā)出一種融合各種主流防范策略并添加獨(dú)創(chuàng)功能的防SQL注入系統(tǒng),系統(tǒng)通過關(guān)鍵字過濾,將匹配

2、SQL執(zhí)行語句中謂語中的敏感字符,阻斷通過參數(shù)拼接方式進(jìn)行的攻擊;同時(shí)進(jìn)行掃描工具特征匹配,識(shí)別不同于手工攻擊的機(jī)器攻擊,內(nèi)置掃描攻擊特征庫,以IP阻斷的形式組織掃描工具對(duì)系統(tǒng)的掃描;同時(shí)添加權(quán)限管理,將數(shù)據(jù)庫中復(fù)雜的權(quán)限控制集中到業(yè)務(wù)層進(jìn)行管理,從權(quán)限上阻隔越權(quán)操作的發(fā)生;并通過預(yù)執(zhí)行結(jié)果分析,調(diào)用數(shù)據(jù)庫執(zhí)行計(jì)劃部分的功能,通過比對(duì)的方式判斷攻擊行為;同時(shí)整合SQL執(zhí)行日志監(jiān)管,通過集中采集和管理SQL執(zhí)行日志,采用分級(jí)提醒的方式來告

3、知管理員攻擊事件的發(fā)生。關(guān)鍵字過濾,權(quán)限控制和日志管理防御策略已經(jīng)在現(xiàn)有的SQL注入防御系統(tǒng)中有所涉及,但沒有系統(tǒng)將這三者整合在一起,而后預(yù)執(zhí)行結(jié)果分析和掃描工具防御這兩種策略是本文所獨(dú)創(chuàng)的注入分析防御方式。
　　 本系統(tǒng)實(shí)現(xiàn)的平臺(tái)是將要成為JDK7的標(biāo)準(zhǔn)的OSGI(Open Service GatewayInitiative)平臺(tái),整個(gè)系統(tǒng)中大量涉及到AOP(Aspect Oriental Programming)的編程設(shè)計(jì)思