首页> 正文

针对Oracle数据库提权漏洞的游标类注入提权技术及防御方法的研究

2020-12-10阅读(1021)

针对Oracle数据库提权漏洞的游标类注入提权技术及防御方法的研究

论文摘要

随着计算机网络的快速发展,以Web应用后台数据库为目标的攻击方式成为攻击者非法窃取信息的重要手段。同时,Oracle数据库作为世界上最成熟的关系数据库之一,已被广泛的应用于金融等重要领域,因此针对以Oracle数据库为后台数据系统的各类攻击尤为常见。本文首先分析了Oracle数据库中广泛存在的权限提升漏洞,提出了目前较为有效的游标类注入式攻击方法以及相关的防御方法,最后设计了基于游标注入攻击的自动化攻击工具。具体工作如下:1)在分析SQL注入攻击产生原因的基础上,归纳出四种针对Oracle数据库的注入攻击方式,为游标类注入提权防御手段的研究提供理论支持;2)分析常用的三大类Oracle数据库权限提升技术,包括PL/SQL提权,Lateral提权以及间接提权,并通过研究总结出这些技术各自的优缺点,最后给出相应的防御预案;3)研究两种通过游标完成用户权限提升的技术。从实验代码中分析这两种提权技术的实现原理,并使用LOOP循环改进了游标Snarf注入提权技术。同时利用游标注入提权技术改进了通过DBMS_SQL包及SDO_DROP_USER_BEFORE触发器进行提权攻击的方法。4)提出一种防御游标注入提权技术的方法。该方法通过构建限制型触发器,限制用户执行DDL语句,进而通过实验证明该方法能够有效防御针对Oracle数据库系统的游标注入式攻击;5)针对以Oracle数据库为后台的WEB应用,设计并实现一个自动化注入工具Autolnject。该工具拥有多种实用功能,如查询WEB应用使用的数据库信息,显示当前用户及其权限,读取数据库中表及列的信息等。

论文目录

  • 摘要
  • Abstract
  • 第一章 绪论
  • 1.1 网络安全中的SQL注入攻击背景
  • 1.2 国内及国外的研究现状
  • 1.3 本文的研究内容
  • 1.4 本文的组织结构
  • 第二章 针对Oracle的SQL注入方式及常用提权技术
  • 2.1 SQL注入基本原理简介
  • 2.2 针对Oracle数据库的SQL注入攻击技术
  • 2.3 提权技术基础:PL/SQL语句执行权限
  • 2.4 Oracle数据库常用提权技术
  • 2.4.1 利用PL/SQL提升用户权限
  • 2.4.2 Lateral权限提升技术
  • 2.4.3 间接权限提升技术
  • 第三章 游标类注入提权攻击技术
  • 3.1 游标Snarf权限提升技术
  • 3.1.1 游标Snarf权限提升技术原理
  • 3.1.2 游标Snarf权限提升技术实现方法
  • 3.1.3 改进游标Snarf权限提升技术
  • 3.1.4 游标Snarf权限提升技术所产生的危害
  • 3.2 攻击者所面对的问题
  • 3.3 游标注入权限提升技术
  • 3.3.1 游标注入权限提升技术原理
  • SQL包提权攻击'>3.3.2 改进DBMSSQL包提权攻击
  • DROPUSERBEFORE触发器提权攻击'>3.3.3 改进SDODROPUSERBEFORE触发器提权攻击
  • 3.4 游标类注入提权技术的特点
  • 第四章 游标类注入提权技术防御方法的研究
  • 4.1 游标Snarf权限提升技术防御方法的研究
  • 4.1.1 游标Snarf提权技术防御方法的提出
  • 4.1.2 防御方法的实验证明及效果
  • 4.2 游标注入权限提升技术防御方法的研究
  • 4.2.1 游标注入提权技术防御方法的实验基础
  • 4.2.2 游标注入提权技术防御方法的提出
  • 4.2.3 防御方法的实验证明及效果
  • 4.3 实验结果总结与分析
  • 第五章 自动化注入工具AutoInject的原型实现
  • 5.1 AutoInject需求分析
  • 5.1.1 AutoInject功能分析
  • 5.1.2 AutoInject用例描述
  • 5.2 AutoInject功能及界面简介
  • 5.2.1 AutoInject功能图
  • 5.2.2 AutoInject各模块简介
  • 5.3 AutoInject的具体实现
  • 5.4 小结
  • 第六章 总结与展望
  • 6.1 本文工作总结
  • 6.2 进一步工作展望
  • 参考文献
  • 致谢

    • 相关论文文献

    • [1].基于田口法的永磁游标电机结构优化[J]. 实验技术与管理 2020(04)
    • [2].厨师机用新型永磁游标直驱电机的研究与设计[J]. 微电机 2020(08)
    • [3].游标技术在数据库中的设计与应用[J]. 信息与电脑(理论版) 2019(12)
    • [4].基于分布式游标法的2.5DIC传输线测试[J]. 计算机辅助设计与图形学学报 2017(10)
    • [5].游标深度尺的改进[J]. 机械研究与应用 2009(02)
    • [6].永磁游标电机的研究现状与最新进展[J]. 中国电机工程学报 2016(18)
    • [7].一种提高脉冲雷达游标测距起始距离精度方法[J]. 现代雷达 2012(11)
    • [8].游标深度尺的改进[J]. 中国计量 2009(07)
    • [9].基于游标测距的微动参数估计[J]. 信号处理 2011(08)
    • [10].数据库游标对档案著录的创新[J]. 云南档案 2010(05)
    • [11].基于游标时间测量方法的超声波热量表系统[J]. 太原科技大学学报 2012(05)
    • [12].PowerBuilder中游标的应用技术[J]. 电脑开发与应用 2009(01)
    • [13].游标混合电机性能分析[J]. 山东工业技术 2018(23)
    • [14].基于游标原理的快速高精度脉冲激光测距方法[J]. 中国激光 2019(05)
    • [15].坐位体前屈测试避免猛力前推游标的方法[J]. 中国学校体育 2010(03)
    • [16].游标时钟数字符合技术研究[J]. 测试技术学报 2010(01)
    • [17].游标批量汉化表的方法[J]. 审计月刊 2014(09)
    • [18].新型永磁游标电机的设计与研究[J]. 电机与控制学报 2019(02)
    • [19].基于游标内插原理的多脉冲测距方法[J]. 信息与电子工程 2009(04)
    • [20].电动汽车用永磁游标电机的设计与研究[J]. 浙江大学学报(工学版) 2018(01)
    • [21].基于游标效应的级联双环传感特性的分析[J]. 杭州电子科技大学学报(自然科学版) 2018(05)
    • [22].基于游标技术的复杂数据库检索方案分析[J]. 电脑知识与技术 2016(26)
    • [23].轻松高效办公之Word篇[J]. 电脑爱好者(普及版) 2008(02)
    • [24].容错式永磁游标电机关键参数分析及实验研究[J]. 中国电机工程学报 2016(18)
    • [25].基于游标法的高精度测频系统设计[J]. 科学技术与工程 2012(31)
    • [26].长度游标与群周期比对相结合的频率测量方法[J]. 北京邮电大学学报 2011(03)
    • [27].基于游标效应的增敏型光纤法布里-珀罗干涉仪温度传感器[J]. 物理学报 2017(09)
    • [28].游标测距技术在脉冲雷达中的应用及精度分析[J]. 现代雷达 2018(10)
    • [29].SQL Server中游标的使用[J]. 新课程学习(中学) 2009(03)
    • [30].基于游标效应的双MZI温度传感理论研究[J]. 光通信技术 2018(01)

    标签:;  ;  ;  

    针对Oracle数据库提权漏洞的游标类注入提权技术及防御方法的研究
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5