检索规则说明:AND代表“并且”;OR代表“或者”;NOT代表“不包含”;(注意必须大写,运算符两边需空一格)
检 索 范 例 :范例一: (K=图书馆学 OR K=情报学) AND A=范并思 范例二:J=计算机应用与软件 AND (U=C++ OR U=Basic) NOT M=Visual
名 称:
注 释:
机构地区:[1]广东工业大学计算机学院,广东广州510006
出 处:《计算机应用与软件》2016年第2期314-317,共4页Computer Applications and Software
基 金:广东省自然科学基金重点项目(S2012020011071);广东省教育部产学研合作项目(2012B091000037)
摘 要:SQL注入是攻击Web程序的常见手段。传统的SQL注入漏洞检测工具在定位效率、检测广度很难满足目前日益增长的程序代码量。针对这种情况,分析SQL注入漏洞的特征,提出一种渗透测试与程序分析技术相结合的方法来定位程序中存在的SQL注入漏洞。其中渗透测试部分通过模拟攻击找出可能的SQL注入点,程序分析部分对源程序代码进行分析,通过对污染变量的标记跟踪来实现SQL注入点的定位。实验结果表明,所提出的方法在定位时间、漏洞检测效果有较好表现。SQL injection is a common means of attacking Web programs. Traditional detection tools for SQL injection vulnerability are difficult to meet the growing amount of program code in terms of positioning efficiency and detection range. In response to this situation, we proposed a method to locate the SQL injection vulnerabilities existed in programs, which combines the techniques of penetration testing and program analysis, after analysing the characteristics of SQL injection vulnerabilities. In the method, the penetration testing identifies the possible SQL injection points by simulating the attacks, and the program analysis parses the source codes. This method achieves the localisation of SQL injection points by marking and tracking the polluted variables. Experimental results showed that the proposed method had better performance in positioning time and vulnerability detection effect.
分 类 号:TP393.08[自动化与计算机技术—计算机应用技术]
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在链接到云南高校图书馆文献保障联盟下载...
云南高校图书馆联盟文献共享服务平台 版权所有©
您的IP:216.73.216.145