论文摘要
随着Web应用程序的普及,Web应用程序的安全性问题也受到了广泛的关注。SQL注入漏洞是目前对Web应用程序威胁最大的漏洞类型之一,该类型漏洞不仅广泛存在而且几乎都是高危漏洞。本文以安全策略实施机制的理论为基础来研究SQL注入的防范技术,这一理论为我们提供了一个统一的视角来考察SQL注入防范技术。本文根据安全策略实施机制的类型对已有的防范技术进行了分类,对比了这些技术在理论上的防范能力,并讨论了由于具体实现而导致的安全策略的实际实施能力的变化。此外,本文设计了一个外部执行监控机制的模型,其详细描述了安全策略的实现以及安全策略和安全策略实施机制之间的关系。该模型包含了三个单元:程序执行单元、实施机制单元和安全策略单元。这个模型通过从外部观察目标程序的计算步骤与检查系统环境来监控不可信程序。在这个模型的基础上,我们针对Web应用程序的特点,构建了一个专门用于防范SQL注入攻击的Web应用的外部执行监控模型。这个专有模型刻画了对一个Web应用程序实施外部EM的细节,使我们能够更准确地抓住在实现具体的外部EM时所要处理的关键问题,以及准确地分析某个实现的实施能力。最后,我们根据这个模型设计和实现了一个SQL查询防火墙的原型,并比较了该系统与Web应用程序防火墙的异同点。
论文目录
中文摘要Abstract目录第一章 引言1.1 Web 应用程序的安全现状1.2 SQL 注入漏洞与 Web 应用程序安全1.3 安全策略的实施机制1.4 本文的主要工作1.5 论文结构第二章 执行监控实施机制的模型2.1 预备知识2.2 安全策略的执行监控实施2.2.1 程序运行的模型2.2.2 安全策略的定义2.2.3 执行监控实施机制的定义2.2.4 安全策略与属性2.3 外部执行监控实施机制的模型2.3.1 模型概述2.3.2 实施机制单元2.3.3 安全策略单元2.3.4 需求与能力2.4 外部 EM 与嵌入式 EM 的实施能力比较2.5 本章小结第三章 执行监控与 SQL 注入攻击防范3.1 SQL 注入的原理3.1.1 SQL 注入攻击的例子3.1.2 SQL 注入漏洞3.2 SQL 注入攻击防范技术3.2.1 静态分析机制3.2.2 静态分析机制结合程序重写机制3.2.3 静态分析机制+程序重写机制+嵌入式 EM 机制3.2.4 外部 EM 机制3.2.5 防御性编码技术(程序重写机制)3.2.6 各类技术的比较3.3 采用外部 EM 的 SQL 注入攻击防范技术的模型3.3.1 HTTP 的无状态性与安全策略的选择3.3.2 Web 应用程序的支撑环境及其状态3.3.3 Web 应用程序的当前动作3.3.4 自动机的状态表示和转移动作3.3.5 模型的实现——监控对象的选择3.3.6 安全策略单元的实现3.4 本章小结第四章 SQL 查询防火墙—一种外部 EM 方式4.1 模型4.2 实现方式4.2.1 PHP 的 mysql 扩展的修改4.3 SQLF 的规则集4.4 本章小结结论本文工作的总结下一步的工作参考文献致谢个人简历、在校期间的研究成果及发表的学术论文
相关论文文献
标签:执行监控论文; 安全策略论文; 实施机制论文; 应用程序论文; 注入论文;