一種基于意圖的SQLIA檢測方法.pdf

1、隨著計算機網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)中的應(yīng)用程序能夠為人們提供各式各樣的服務(wù)，但同時應(yīng)用程序中存在的安全漏洞也給人們的信息安全帶來了隱患，因此對應(yīng)用程序安全漏洞的檢測就顯得尤為重要。最為常見的 Web漏洞有跨站腳本攻擊、SQL注入漏洞、執(zhí)行惡意文件等，這些漏洞都是由于外部輸入未經(jīng)過驗證引發(fā)的。
　　本文提出了一種面向用戶意圖的檢測方法，與現(xiàn)有從SQL語法分析的角度來判定是否存在SQLIA的動態(tài)檢測方法不同，可以在程序發(fā)布前預(yù)先定義WEB程序

2、期望的所有數(shù)據(jù)庫操作，在運行時攔截提交至數(shù)據(jù)庫的操作并分析，從而阻止不符合意圖的操作。方法使用字符串值分析方法分析程序中SQL字符串的安全性，并為存在安全隱患的SQL字符串添加污染標(biāo)記，最后在程序運行時攔截SQL并檢測。方法設(shè)計并實現(xiàn)了一種描述數(shù)據(jù)庫操作意圖的語言 SQLIDL，將開發(fā)者提供的允許操作集合解釋為以確定有限自動機(DFA)表示的字符串集合，且完全支持SQL操作的自動機表示。
　　根據(jù)面向用戶意圖的檢測方法，實現(xiàn)了基于