针对SQL注射攻击的一种集成防御策略

摘要

SQL 注射攻击是近年来Internet网络上最流行的网站入侵方式之一， SQL注射攻击利用的是SQL 语法，对于所有平台上的基于SQL 语言标准的数据库软件(包括MS SQL Setver,Oracle,DB2，Sybase，MySQL 等)都是有效的。由于SQL注射攻击的原理相对简单，易于掌握和实施，使得这种攻击具有相当的广泛性。 本文通过对SQL 注射攻击原理、具体形式、一般防御手段及其局限性的分析；对．NET平台下ASRNET服务器端HTTP请求响应过程的详细分析；深入挖掘ASRNET安全性方面的性能；然后采用ASRNET级的URL重写技术之一的“使用HTTP模块执行URL，重写”技术来建立了一种针对SQL 注射攻击的集成防御策略。 该策略先将采用不同微软技术的(例如：ASP技术、ASP.NET C＃技术、ASP.NETVB技术等)各个WEB应用系统进行基于 NET的系统集成，使他们的SQL 注射攻击的防御问题在ASP.NET服务器端设置统一集成防御机制；该策略还构造了一个针对SQL 注射攻击的检测/防御/备案模型；本策略将SQL 注射攻击的一般防御手段与ASP.NET级URL 重写技术有机结合，将一般误操作和SQL 注射低等级的攻击进行基于客户端检查，旨在减少网络流量，降低服务器负荷；对高等级的SQL 注射攻击行为(特指有经验的攻击者绕开客户端的检查实施的SQL 注射攻击)在ASP．NET服务器端实施检测、防御，并对其进行智能化跟踪、备案。 该集成防御策略在MS的 NET 2.0和SQL Server 2000平台上试验可行，在文中给出了本策略实验系统(IDP SQLIA系统)的设计及实验结果分析。

目录

文摘

英文文摘

声明

1绪论

1.1问题背景

1.2内容及章节安排

2 ASP.NET技术概述

2.1 ASP.NET概述简介

2.2 ASP.NET与SQL Server的关系

2.3 ASP.NET服务器与其他企业服务器的比较

2.4 HTTP请求的响应过程

2.4.1 HTTP请求在ⅡS上的响应过程

2.4.2 ASP.NET引擎中ASP.NET应用程序生命周期

2.4.3 ⅡS的ISAPI筛选器和ASP.NET引擎的关系

2.5本章小结

3 SQL注射攻击和一般防御手段

3.1主要攻击形式

3.1.1绕过网站身份认证

3.1.2对数据库系统进行读取、插入、修改等操作

3.1.3执行系统命令

3.2一般防御手段

3.3不足之处

3.4本章小结

4 URL重写技术

4.1 URL重写问题

4.2 URL重写时机及各种实施URL重写的方法

4.3 ASP.NET级的URL重写技术

4.3.1使用HTTP模块执行URL重写

4.3.2在HTTP处理程序中执行URL重写

4.4构建URL重写引擎（基于使用HTTP模块执行URL重写）

4.4.1指定配置信息

4.4.2使用HTTP模块执行URL重写的实施

4.5本章小结

5 SQL注射攻击集成防御

5.1不同系统基于.NET的系统集成

5.1.1系统集成问题

5.1.2系统集成实施

5.2集成防御策略模型设计

5.3检测/防御子系统设计与实施

5.3.1客户端检测/防御子系统脚本程序源代码设计

5.3.2 Web.config中重写规则定制

5.3.3 ASP.NET服务器端Rewrite()函数的重构

5.4 跟踪、备案子系统设计与实施

5.4.1跟踪、备案子系统设计

5.4.2跟踪、备案子系统程序设计

5.5本章小结

6 IDP_SQLIA实验系统

6.1实验系统与实验环境

6.2实验目标和实验结果分析

6.3本章小结

7结束语

7.1总结

7.2进一步工作

致 谢

参考文献