[发明专利]一种SQL注入漏洞定位检测系统在审
| 申请号: | 201610885677.7 | 申请日: | 2016-10-10 |
| 公开(公告)号: | CN106407811A | 公开(公告)日: | 2017-02-15 |
| 发明(设计)人: | 曹卫星 | 申请(专利权)人: | 合肥红珊瑚软件服务有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F21/55 |
| 代理公司: | 北京和信华成知识产权代理事务所(普通合伙)11390 | 代理人: | 胡剑辉 |
| 地址: | 232000 安徽省合肥市高新*** | 国省代码: | 安徽;34 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种SQL注入漏洞定位检测系统,先通过渗透测试运用模拟攻击的方式来检测WEB程序中是否有SQL注入漏洞,再运用程序分析技术对源代码进行分析,运用数据流跟踪技术、插桩技术对污染变量的传播进行跟踪,最终给出污染变量在程序中的传播路径,便于开发维护人员进行漏洞的修补。本发明提出了渗透测试与程序分析技术相结合的方法,解决了渗透测试无法分析源程序及纯粹程序分析浪费时间的缺点,为SQL注入漏洞的定位检测提供了一种新的思路。 | ||
| 搜索关键词: | 一种 sql 注入 漏洞 定位 检测 系统 | ||
【主权项】:
一种SQL注入漏洞定位检测系统,其特征在于:包括渗透测试单元和程序分析单元;所述的渗透测试单元包括信息获取模块、攻击字符串库和模拟攻击模块;所述的信息获取模块检测URL可访性并获取网页源代码,在网页中寻找如用户登陆等方面的可能注入点,依次从攻击字符串库调用攻击字符串对网站实施模拟攻击,根据服务器端返回页面检测结果判断是否攻击成功,若成功则表示存在SQL注入漏洞,将网站位置及可能注入点保存,以便程序分析阶段时使用;所述的程序分析单元包括源代码载入器、标识模块、数据流跟踪模块、代码插桩器和动态测试模块;所述的源代码载入器根据渗透测试的结果载入存在SQL注入漏洞的页面源代码,为后来的漏洞定位做准备;所述的标识模块标识污染变量,运用数据流跟踪技术跟踪污染变量在程序中的传播,若最终组成SQL查询语句的变量中有来自用户输入的数据,则断定该变量为SQL注入点,给出该变量输入点的位置及其传播路径;所述的代码插桩器在程序中插入信息以监测程序的动态运行,得到污染变量的传播路径。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于合肥红珊瑚软件服务有限公司,未经合肥红珊瑚软件服务有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610885677.7/,转载请声明来源钻瓜专利网。
