基于执行监控的Web应用SQL注入防范技术研究

基于执行监控的Web应用SQL注入防范技术研究

论文摘要

随着Web应用程序的普及,Web应用程序的安全性问题也受到了广泛的关注。SQL注入漏洞是目前对Web应用程序威胁最大的漏洞类型之一,该类型漏洞不仅广泛存在而且几乎都是高危漏洞。本文以安全策略实施机制的理论为基础来研究SQL注入的防范技术,这一理论为我们提供了一个统一的视角来考察SQL注入防范技术。本文根据安全策略实施机制的类型对已有的防范技术进行了分类,对比了这些技术在理论上的防范能力,并讨论了由于具体实现而导致的安全策略的实际实施能力的变化。此外,本文设计了一个外部执行监控机制的模型,其详细描述了安全策略的实现以及安全策略和安全策略实施机制之间的关系。该模型包含了三个单元:程序执行单元、实施机制单元和安全策略单元。这个模型通过从外部观察目标程序的计算步骤与检查系统环境来监控不可信程序。在这个模型的基础上,我们针对Web应用程序的特点,构建了一个专门用于防范SQL注入攻击的Web应用的外部执行监控模型。这个专有模型刻画了对一个Web应用程序实施外部EM的细节,使我们能够更准确地抓住在实现具体的外部EM时所要处理的关键问题,以及准确地分析某个实现的实施能力。最后,我们根据这个模型设计和实现了一个SQL查询防火墙的原型,并比较了该系统与Web应用程序防火墙的异同点。

论文目录

  • 中文摘要
  • Abstract
  • 目录
  • 第一章 引言
  • 1.1 Web 应用程序的安全现状
  • 1.2 SQL 注入漏洞与 Web 应用程序安全
  • 1.3 安全策略的实施机制
  • 1.4 本文的主要工作
  • 1.5 论文结构
  • 第二章 执行监控实施机制的模型
  • 2.1 预备知识
  • 2.2 安全策略的执行监控实施
  • 2.2.1 程序运行的模型
  • 2.2.2 安全策略的定义
  • 2.2.3 执行监控实施机制的定义
  • 2.2.4 安全策略与属性
  • 2.3 外部执行监控实施机制的模型
  • 2.3.1 模型概述
  • 2.3.2 实施机制单元
  • 2.3.3 安全策略单元
  • 2.3.4 需求与能力
  • 2.4 外部 EM 与嵌入式 EM 的实施能力比较
  • 2.5 本章小结
  • 第三章 执行监控与 SQL 注入攻击防范
  • 3.1 SQL 注入的原理
  • 3.1.1 SQL 注入攻击的例子
  • 3.1.2 SQL 注入漏洞
  • 3.2 SQL 注入攻击防范技术
  • 3.2.1 静态分析机制
  • 3.2.2 静态分析机制结合程序重写机制
  • 3.2.3 静态分析机制+程序重写机制+嵌入式 EM 机制
  • 3.2.4 外部 EM 机制
  • 3.2.5 防御性编码技术(程序重写机制)
  • 3.2.6 各类技术的比较
  • 3.3 采用外部 EM 的 SQL 注入攻击防范技术的模型
  • 3.3.1 HTTP 的无状态性与安全策略的选择
  • 3.3.2 Web 应用程序的支撑环境及其状态
  • 3.3.3 Web 应用程序的当前动作
  • 3.3.4 自动机的状态表示和转移动作
  • 3.3.5 模型的实现——监控对象的选择
  • 3.3.6 安全策略单元的实现
  • 3.4 本章小结
  • 第四章 SQL 查询防火墙—一种外部 EM 方式
  • 4.1 模型
  • 4.2 实现方式
  • 4.2.1 PHP 的 mysql 扩展的修改
  • 4.3 SQLF 的规则集
  • 4.4 本章小结
  • 结论
  • 本文工作的总结
  • 下一步的工作
  • 参考文献
  • 致谢
  • 个人简历、在校期间的研究成果及发表的学术论文
  • 相关论文文献

    标签:;  ;  ;  ;  ;  

    基于执行监控的Web应用SQL注入防范技术研究
    下载Doc文档

    猜你喜欢