[发明专利]一种基于数据库注入测试的安全测试系统

说明书

本发明公开了一种基于数据库注入测试的安全测试系统，包括：语音请求录入模块和文字请求录入模块分别接收语音数据注入请求和文字数据注入请求，分别进行识别，得到第一注入请求和第二注入请求；响应监听模块用于对第一注入请求和/或第二注入请求以及其响应信息进行辅助监听；消息识别模块被配置为识别第一注入请求和第二注入请求及二者的响应信息是否异常，并将识别结果发送至信息收集模块；信息收集模块与信息发送模块分别用于对接收的信息进行存储和并向客户端发送。本发明通过利用大数据对注入请求进行分析，识别并阻断异常注入；另外在检测过程中以将信息传输给客户端，反馈危险信息，提高数据安全性。

技术领域

本发明涉及安全测试系统，具体涉及一种基于数据库注入测试的安全测试系统。

背景技术

随着网络和计算机软件信息技术的发展，客户端/服务器(B/S)模式得到了越来越广泛的应用，网络安全越来越受到大家的重视和关注，相关的安全测试也越来越必不可少。B/S模式中经常出现用户与后台数据库服务器之间进行数据交互的情形，即用户在客户端的网页上通过表单输入并提交数据，服务端的应用程序根据用户提交的数据构造SQL语句，提交到数据库服务器进行处理，并向用户返回处理结果。在开发B/S模式的应用程序时，许多开发者忽略了对用户输入数据的合法性进行判断，使应用程序存在安全隐患。攻击者提交一段数据库查询代码，根据程序返回的结果，窃取相关的数据，即为数据库注入攻击技术，也称SQL注入(SQL Injection)攻击。

在安全测试中，数据库注入测试都会做为一个使用频繁的常用安全测试方法，测试人员可以通过该方法模拟黑客进行攻击，验证被测网址是否对于用户提交的参数未做过滤就直接放到SQL语句中执行，导致参数中的特殊字符打破了SQL语句原有逻辑，而被黑客利用该漏洞执行了任意SQL语句，从而提高被测网站的安全等级。但是从数据库访问行为本身看，无论是用户的正常访问，还是攻击者的注入攻击，都表现为向数据库服务器提交并运行SQL语句，这就导致虽然网络安全产品可以记录用户对数据库的访问信息，但是无法区分一条数据库访问记录所代表的访问行为是正常的访问还是恶意的注入攻击。这样当攻击者实施注入攻击时，安全产品只能记录攻击者的行为，无法及时检测出攻击并实施阻断，只能通过事后分析的方式对攻击进行识别。另外，攻击者的访问记录被淹没在大量的访问记录中，安全管理人员只能通过经验进行识别，给事后分析带来了极大的不便。

很多云端业务系统已经部署了WAF或已经在云端部署了数据校验的代码功能，由于WAF或云端业务安全代码对很多常见特殊字符进行了过滤，导致基于数据库注入的特殊数据库构造语句不能被正确的解析而在云端业务系统生成数据库语句并提交到后台数据库进行合法的执行，造成数据库注入测试无法成功。

现有的数据库注入测试语句，要么是提供了基本的特殊字符，要么只有简单的数据库构造语句，只能对没有WAF或者无数据库注入过滤机制的业务系统进行测试。这些语句很多过于简单，且增加了安全测试的时间，以现在比较流行的数据库注入工具啊D、明小子为例，数据库注入测试语句仅仅是简单的单引号，and，or等语句；由于WAF的存在，通常这些特殊字都会被转义掉，无法让云端业务系统最后生成的数据库语句在提交到数据库后合法的执行，导致了数据库注入测试的局限性，也给安全测试工作带来了很多的不便。

发明内容

发明目的：本申请的目的在于提供一种基于数据库注入测试的安全测试系统，解决现有技术中数据库注入测试精确度和智能性低的缺陷。

技术方案：本发明提供了一种基于数据库注入测试的安全测试系统，包括：语音请求录入模块、语音识别模块、文字请求录入模块、文字识别模块、响应监听模块、消息识别模块、信息收集模块、信息发送模块和客户端；其中，

语音请求录入模块被配置为接收语音数据注入请求，并将其传输至语音识别模块以供识别，得到第一注入请求；

文字请求录入模块被配置为接收文字数据注入请求，并将其传输至文字识别模块以供识别，得到第二注入请求；