[发明专利]一种二阶SQL注入攻击防御的方法

说明书

本发明公开了一种二阶SQL注入攻击防御的方法，分别从存储和触发两个方面分析SQL语句并进行防御。本发明一方面，极大的减少了攻击载荷存入数据库，另一方面，不再过分相信数据库的数据，在将数据库数据取出存入内存之前对数据进行验证，从而阻断SQL注入攻击的触发，有效防御SQL注入攻击行为，极大地提升了对Web服务器及其后台数据库的安全防护。

技术领域：

本发明属于信息技术领域，具体涉及一种二阶SQL注入攻击防御的方法。

背景技术：

随着WEB2.0时代的到来，基于数据库的WEB应用程序越来越多的被使用到各个企业的业务系统。然而，如果开发人员缺乏相应的安全意识，就会使应用程序存在大量安全隐患。影响web应用程序安全的因素有很多，其中SQL注入攻击是最常见且最易于实施的攻击。SQL注入攻击是指攻击者将SQL命令插入到Web表单提交的输入域名或页面请求的查询字符串，以达到欺骗数据库运行含有攻击性SQL指令的目的。

申请号为CN201610972899.2的专利公开了一种基于语法变换分析的SQL注入攻击防御系统及防御方法。首先构建网站程序SQL语句变换规则，并将Web服务器上网站程序中的SQL语句按照网站程序SQL语句变换规则进行变换；然后截获并解析Web服务器发往数据库的SQL访问语句，如果所述SQL访问语句存在SQL关键字，则判定所述SQL访问语句为注入攻击性语句，对其进行拦截，否则对所述SQL访问语句按照网站程序SQL语句变换规则进行还原并发往数据库，同时对变换规则进行动态更新。

申请号为CN201710507364.2的专利公开了一种SQL注入攻击防御组件及方法。同样的，首先对应用服务器输出的SQL语句进行复制，以生成至少两条相同的SQL语句，并将复制生成的至少两条SQL语句分别作为子语句拼接成一条组合的SQL语句，同时使所述组合的SQL语句中的所有关键词均带上预生成的标签；然后将用户输入的参数拼接到经过所述SQL语句预处理模块处理后的SQL语句中；检测拼接后的SQL语句中每条子语句的标签是否与所述SQL语句预处理模块添加的标签一致，如果一致，则选择任意一条子语句并将其中的所有标签去除后返回至应用服务器；否则，返回所述指令错误信息。

传统的SQL注入攻击防御模型主要从过滤用户输入和比较SQL语句拼接前后的语法分析角度出发进行防御，这些方法对一阶SQL注入有不错的效果，但是针对于更加复杂的二阶SQL注入的防御和检测上却略显不足。二阶SQL注入与一阶SQL注入的不同之处在于攻击载荷的来源不同。一阶注入的攻击载荷来自用户的输入数据，二阶注入的攻击载荷来自数据库中的数据，而web应用过分相信来自数据库数据安全性是二阶SQL注入攻击的根本原因。

通过对SQL注入攻击过程的分析，可知二阶SQL注入过程可以分为两部分：第一，存储过程，即把设计好的攻击载荷通过正常的Web应用功能存入数据库中；第二，触发过程，即通过合法的应用操作，把先前存入数据库的攻击载荷调用出来，构造存在漏洞的SQL语句再次送入数据库服务器执行，从而形成SQL注入攻击。二阶SQL注入带来的危害和等价的一阶SQL注入一样，会造成信息泄露，数据丢失篡改，甚至导致系统被控制等。但二阶SQL注入更加复杂，隐蔽性更高，不易检测。

发明内容：

本发明公开了一种二阶SQL注入攻击防御的方法，本发明一方面，极大的减少了攻击载荷存入数据库，另一方面，不再过分相信数据库的数据，在将数据库数据取出存入内存之前对数据进行验证，从而阻断SQL注入攻击的触发，有效防御SQL注入攻击行为，极大地提升了对Web服务器及其后台数据库的安全防护。

为实现上述目的，本发明提供技术方案如下：

一种二阶SQL注入攻击防御的方法，包括如下步骤：

步骤一，扫描web源程序，筛选INSERT类型和UPDATE类型的SQL语句，对INSERT类型和UPDATE类型的SQL语句中的所有标准SQL关键字附加标注字符串进行SQL关键字变换处理；