[发明专利]一种SQL注入检测装置及SQL注入检测方法

说明书

本发明涉及一种SQL注入检测装置及SQL注入检测方法，通过任务接收调度模块接收并调度任务，以爬虫模块爬取URL地址并交由URL分析模块分析，SQL注入检测模块对URL所涉网站进行WAF识别，根据识别结果查找到特征处理插件并对SQL注入检测包进行对应修改使其能绕过网站WAF，随后将修改完的SQL注入检测包发送至需要进行检测的网站并执行，根据执行结果进行网站的注入点判断，获取SQL注入的对应数据，以结果展现模块输出检测结果。本发明使得在有WAF、SQL防护保护的情况下，SQL注入检测包能自动识别保护技术并最大程度的进行绕过，提高SQL注入的漏洞的检出率，自动程度高，效率高。

技术领域

本发明涉及保密或安全通信装置的技术领域，特别涉及一种能识别并绕过Web应用防护系统以达到准确检测的SQL注入检测装置及SQL注入检测方法。

背景技术

SQL注入是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，它利用现有应用程序，将恶意的SQL命令注入到后台数据库，可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库。

针对SQL注入的现状，有很多SQL注入检测工具供安全维护使用，例如SQLmap、HAVIJ等，基本原理都类似，一般就是针对一条URL进行注入检测。

然而，随着现在的WAF/IDS技术以及SQL注入防御技术的流行和普及，传统的SQL注入检测装置在检测带有WAF(Web应用防护系统，Web Application Firewall)的网站系统时通常都会被WAF检测到攻击特征而被阻止访问目标系统或者被加入黑名单，进而导致检测结果与事实不符，往往会导致检测不到目标系统所存在的SQL注入漏洞。

现有技术中，SQL注入检测装置主要包括半自动化检测装置和自动化的fuzzing检测装置。其中，半自动化检测装置通常需要人工干预检测过程，例如SQLmap，需要人工识别WAF，并且需要自己编写tamper脚本；而自动化的fuzzing检测装置并没有携带WAF检测和绕过功能，在没有WAF的情况下可以有效的检测出SQL注入漏洞，但如果有WAF则往往会被WAF隔离，达不到检测出漏洞的目的。

SQL注入检测装置必须做到自动化，如果总是需要人工干预，则检测效率会大大降低，并且会引入因人导致的错误，而自动化的fuzzing检测装置不能有效对抗WAF，会导致最终检测结果不理想。

发明内容

为了解决现有技术中存在的问题，本发明提供一种优化的SQL注入检测装置及SQL注入检测方法，使得在有WAF或SQL防护保护的情况下，能自动识别保护技术并最大程度绕过，提高SQL注入的漏洞的检出率。

本发明所采用的技术方案是，一种SQL注入检测装置，所述检测装置包括：

一用于接收下发任务并对任务进行参数解析验证、将任务拆分为内部子任务进而调度至待检测的站点的任务接收调度模块、

一用于对任务调度的待检测的站点爬出得到站点内部的URL地址的爬虫模块、

一用于对任务产生的URL地址进行分析操作并提交的URL分析模块、

一用于对URL分析模块分析操作后的URL地址进行SQL注入检测的SQL注入检测模块

及一用于输出检测结果的结果展现模块。

优选地，所述URL分析模块中，操作包括提取URL地址中的参数和过滤重复URL地址。

优选地，所述SQL注入检测模块包括：

一用于提供基础SQL注入检测逻辑的检测基础逻辑模块、

一用于识别待检测URL地址是否安装有WAF并获得WAF的型号和版本的WAF特征匹配模块、