《表2 SQL注入防护的对比测试结果》
将本文所实现的方法TPSQLIA与WAF和关键词过滤等方法进行对比。其中,WAF选用开源的JSP网站防火墙webcastellum[15]。实验通过尝试直接注入、关键字编码、二阶注入、等价函数替换等攻击方法测试防护效果,结果如表2所列。其中,二阶注入使用多重编码、替换等方式将载荷存储于数据库,而触发时通过正常请求数据库中的数据进行,因此一般的WAF方法无法检测出异常行为。对于特定的实现,关键词随机化方案替换的关键词是确定的,虽然其能够限制二阶注入,但攻击者可以根据其替代方案重构攻击语句进行绕过。代码过滤的方法可以通过关键词多重编码的方法进行绕过。本文提出的TPSQLIA方法,通过区分具体的注入类型,对常见的数字型查询直接检查变量的数位,对字符型和搜索型的查询着重对插入额外语句必须的少数平衡字进行过滤,能有效防范关键字编码、等价函数替换等攻击方法,同时本方案通过程序分析方法直接在查询语句之前插入针对具体变量的过滤代码,可以有效对关键字编码和二阶注入方法进行防范。
图表编号 | XD0035519000 严禁用于非法目的 |
---|---|
绘制时间 | 2019.01.15 |
作者 | 尹中旭、张连成 |
绘制单位 | 数学工程与先进计算国家重点实验室、数学工程与先进计算国家重点实验室 |
更多格式 | 高清、无水印(增值服务) |