[发明专利]一种改进的SQL注入漏洞检测方法有效
| 申请号: | 201210277272.7 | 申请日: | 2012-08-06 |
| 公开(公告)号: | CN102799830A | 公开(公告)日: | 2012-11-28 |
| 发明(设计)人: | 张婷 | 申请(专利权)人: | 厦门市美亚柏科信息股份有限公司 |
| 主分类号: | G06F21/00 | 分类号: | G06F21/00;G06F17/30 |
| 代理公司: | 北京恒都律师事务所 11395 | 代理人: | 安筱琼 |
| 地址: | 361008 福建省厦门市*** | 国省代码: | 福建;35 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种改进的SQL注入漏洞检测方法,包括数据包构造模块、服务器交换模块、SQL注入验证模块,通过数据包构造模块实现将原始数据包进行解析,自动解析出注入点可能存在的位置,构造不同的数据包,通过服务器交互模块负责把构造的数据包发送出去并接收服务器返回数据包,SQL注入验证模块通过若干规则设定将普通报错法和盲注入方法相结合,并通过对不同请求的返回页面的智能分析判断是否存在关键词,从而判断是否存在SQL注入漏洞,并给出结果。本发明采用普通SQL注入检测和盲注入检测相结合的思想,对不同请求的返回页面进行智能分析,从而更有效的发现网站SQL注入点,并列出可能存在的漏洞,为网站的安全评估提供一个较为可靠的参考依据。 | ||
| 搜索关键词: | 一种 改进 sql 注入 漏洞 检测 方法 | ||
【主权项】:
一种改进的SQL注入漏洞检测方法,其特在在于:包括数据包构造模块、服务器交换模块、SQL注入验证模块,通过数据包构造模块实现将原始数据包进行解析,自动解析出注入点可能存在的位置,构造不同的数据包,通过服务器交互模块负责把构造的数据包发送出去并接收服务器返回数据包,通过SQL注入验证模块通过若干规则的设定,并通过比较返回页面的异同智能解析网页,判断是否存在关键词,从而判断是否能注入,并给出结果,其特征在于,所述的步骤:(1)开始网页检测;(2)分析待检测网页对应的数据包或者URL;(3)进行普通SQL注入尝试报错法;(4)返回报错信息,如果存在报错信息,判断为可注入,如果无报错信息,则使用盲注入方法尝试;(5)进行盲注入方法尝试;(6)对返回页面结果出现的关键字进行智能分析,若返回网页出现了预定义的关键字,则判断为可注入,若无出现预定的关键字,则判断为不可注入。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于厦门市美亚柏科信息股份有限公司,未经厦门市美亚柏科信息股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201210277272.7/,转载请声明来源钻瓜专利网。
- 上一篇:一种双冷源制冷系统设备
- 下一篇:空调器室内机
