以阶段分析为基础之SQLInjection防御系统.ppt
《以阶段分析为基础之SQLInjection防御系统.ppt》由会员分享,可在线阅读,更多相关《以阶段分析为基础之SQLInjection防御系统.ppt(24页珍藏版)》请在三一文库上搜索。
1、以階段分析為基礎之SQL Injection防禦系統,指導教授:鄭錦楸 報告人:魏宏吉 版權聲明:本報告僅使用在學校報告與練習之用,並無其他用途,若有侵權問題,煩請告知!,大綱,1.研究目的 2.何謂SQL Injection攻擊 3.研究動機 4.研究方法 5.預計完成的工作項目,1.研究動機,隨著網際網路的蓬勃發展,網頁也越來越多 元化,現今網頁已與資料庫脫離不了關係。 根據OWASP的統計報告表示,2010年十大網 路風險排名,SQL Injection已經成為排行榜 上的第一名,這樣表示,網頁資料庫的安全性 越來越重要了。,資料來源:OWASP,攻擊者透過網頁應用程式所提供的輸入欄位來
2、輸入攻擊字串來破壞原有的SQL語句結構,以及執行攻擊者輸入的指令,來達到對資料庫內容進行查詢、新增、修改、刪除,甚至破壞整個資料庫。 SQL攻擊者常用的SQL指令有: Select、Where、having、Group by、Like,2.何謂SQL Injection攻擊,2.1 SQL Injection攻擊原理,一般輸入帳號密碼的網站的SQL語法 select * from 會員 where 身分證 = “& request(“uid“) &“ And 會員密碼 = “& request(“pw“) & “ 如果正常使用者帳號 A123456789,密碼 1234 select * fr
3、om 會員 where 身分證 = A123456789 And 會員密碼 = 1234 輸入的帳號與密碼等資訊會取代ASP( or PHP、JSP)中的變數,並由兩個單引號( )所包住,正常的連線狀態,SQL Injection攻擊,假設攻擊者已知系統中存在一個A123456789的帳號,但攻擊者不知其密碼,不過攻擊者還是可以使用SQL Injection的方式跳過密碼的驗證,而進入到系統。 攻擊者只要在身分證的欄位輸入 A123456789- 即可不須輸入密碼而進入到系統。,SQL Injection攻擊,3.研究目的,大部分的程式設計師都沒有資訊安全的概念, 往往忽略了程式的安全性。 因
4、此我們想開發一套SQL Injection攻擊防禦 系統,讓程式設計師不用擔心自己撰寫的程式 是否易遭受到駭客的SQL Injection攻擊,如此 一來,程式設計師只要專心賺寫程式即可。,4.研究方法,我們提出一個架構來實作SQL Injection的防 禦系統,此架構分成三個階段以及四個模組。,系統架構圖,三個階段 1.資料建置階段 2.權限配置階段 3.SQL語句驗證階段 四個模組 1.權限配對模組 2.語句分離模組 3.輸入內容驗證模組 4.SQL語句驗證模組,4.1 資料建置階段,在資料建置階段,我們會將每一位使用者能使 用的SQL語句定義在比對列表內,且還會將使用 者不可以輸入的語
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 阶段 分析 基础 SQLInjection 防御 系统
链接地址:https://www.31doc.com/p-2842999.html