一種SQL注入漏洞測(cè)試與驗(yàn)證方法及系統(tǒng)

基本信息

申請(qǐng)?zhí)?/td> CN201310439957.1 申請(qǐng)日 -
公開(公告)號(hào) CN103530564B 公開(公告)日 2016-04-13
申請(qǐng)公布號(hào) CN103530564B 申請(qǐng)公布日 2016-04-13
分類號(hào) G06F21/57(2013.01)I;G06F11/36(2006.01)I 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 孫歆;王紅凱;李景;陳華智;韓嘉佳;周輝;盧新岱;王保衛(wèi) 申請(qǐng)(專利權(quán))人 杭州辰青和業(yè)科技有限公司
代理機(jī)構(gòu) 北京集佳知識(shí)產(chǎn)權(quán)代理有限公司 代理人 國(guó)家電網(wǎng)公司;國(guó)網(wǎng)浙江省電力公司電力科學(xué)研究院;國(guó)網(wǎng)浙江省電力公司信息通信分公司;杭州辰青和業(yè)科技有限公司
地址 100031 北京市西城區(qū)西長(zhǎng)安街86號(hào)
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種SQL注入漏洞測(cè)試與驗(yàn)證方法及系統(tǒng),基于JavaEE的WebApp框架,該方法通過(guò)用戶輸入U(xiǎn)RL,系統(tǒng)對(duì)URL進(jìn)行解析或根據(jù)已知的HTTP?request,自動(dòng)從中提取參數(shù)和注入點(diǎn),然后用戶根據(jù)自身需要,選擇注入點(diǎn)或自定義注入點(diǎn)加入請(qǐng)求中,并選擇請(qǐng)求模式、請(qǐng)求協(xié)議和數(shù)據(jù)庫(kù)服務(wù)器,系統(tǒng)從數(shù)據(jù)庫(kù)中載入繞過(guò)技術(shù)配置、規(guī)則池中靜態(tài)規(guī)則和動(dòng)態(tài)規(guī)則數(shù)據(jù),經(jīng)過(guò)預(yù)處理后,由多線程管理器分配線程,交由掃描管理器進(jìn)行SQL注入掃描,實(shí)現(xiàn)在保證自動(dòng)化程度的前提下,降低漏報(bào)率。另外,本發(fā)明基于實(shí)際交互的HTTP報(bào)文,可自動(dòng)識(shí)別報(bào)文中所有可能存在的注入點(diǎn),也可自定義注入點(diǎn),實(shí)現(xiàn)半自動(dòng)化漏洞檢測(cè),可實(shí)現(xiàn)檢測(cè)任何區(qū)域的SQL注入漏洞,進(jìn)一步的降低漏報(bào)率。