贵州民族学院 计算机与信息工程学院 2008级
毕业论文(设计)任务书 学生姓名:周波 专业:计算机科学与技术 指导教:龚 琪 毕业论文(设计)题目:
Web环境下SQL注入攻击与防御研究
毕业论文(设计)工作内容:
研究Web环境下SQL注入的起因,发展过程、SQL注入风险、和防御体系应该注意的技术和方法,从程序员、管理员、攻击者角度来研究SQL注入和防御。其它们在Web应用安全的重要性。
, 指导教师: 龚琪 (签名)2012 年 3 月15 日 , 教研室主任: (签名) 年 月 日 , 学院院长: (签名) 年 月 日
贵州民族学院
本科毕业论文(设计)开题报告
天道酬勤不酬怨论文题目__Web环境下SQL注入攻击与防御研究
系 别:计算机与信息工程学院
专 业:计算机科学与技术
班 级: 2008级
姓 名: 周 波
学 号:************
*********
填表日期:2012年3月8日
二0一0 年 03月
2
说 明
1、 毕业设计的开题报告是保证毕业设计质量的一个重要环节,
为规范毕业设计的开题报告,特印发此表。
2、 学生应在开题报告前,通过调研和资料搜集,主动与指导教
师讨论,在指导教师的指导下,完成开题报告。 3、 此表一式二份,交学院装入毕业设计(论文)档案袋。 4、 开题报告需经指导教师、院(系)领导审查合格后,方可正
式进入下一步毕业设计(论文)阶段。
5、 理工类不得少于10篇,其他专业类不少于15篇相关文章的
阅读量。
6、 开题报告撰写不少于1000字。
3
研究的现状:
国内对SQL注入攻击研究主要包括SQL注入攻击的原理和SQ注入攻击的关键技术。国内对SQL注入的检测与防范的研究主要集中于以下几个方面:
1. 提出各种各样的防范模型,如在客服端和服务器端进行检测的SQL注入攻击检测、防御、备案模型。
2. 在服务器端正式处理之前对提交数据进行合法性检查。
3. 屏蔽出错信息,这样攻击者就不能从错误中获取关于数据库的信息。 4. 对Web服务器进行安全设置,如去掉Web服务器上默认的一些危险命令。
脉冲氙灯5. 不用字符串连接建立SQL查询,用存储过程编写代码减少攻击。
6. 对包含敏感信息的数据加密,如在数据库中对加密密码存储等。
国内对SQL注入漏洞检测的研究还很少,大多数还停留在攻击工具的层面上,很少将注入工具用于网站安全检测。
国外学者对SQL注入检测与防范领域一般分为两大类。
1. 漏洞识别(漏洞检测):这类防范主要研究识别应用程序中能导致SQL注入攻击的漏洞位置。
2. 攻击防御:这类方法可以进一步分为编码机制和防御机制。
编码机制是一种很好实践的防范方法。SQL注入攻击产生的根本原因在于没有足够的验证机制,因而从编码方面防范攻击有很好的理论基础防御机制包括:黑盒测试法、静态代码检测器、结合静态和动态的分析方法、新查询开发范例、入侵检测系统、代理过滤、指令集随机化方法、动态检测方法等。
4
丰城市中医院研究目的和意义:
SQL注入攻击存在于大多数访问了数据库且带有参数的动态网页中,SQL注入攻击相当隐秘,表面上看与正常的Web访问没有区别,不易被发现,但是SQL注入攻击潜在的发生概
率相对于其他Web攻击要高得多,危害面也更广。其主要危害包括:获取系统控制权、未经授权状态下操作数据库的数据、恶意篡改网页内容、私自添加账号或数据库使用者账号等。
现在流行的数据库管理系统都有一些工具盒功能组件,可以直接与操作系统及网络进行连接。当攻击者通过SQL注入攻击一个数据库系统,去危害就不只局限于存储在数据库中数据,攻击者还可以设法获得对DBMS所有的主机进行交互式访问,使其危害从数据库向操作系统、甚至整个网络蔓延。因此,我不仅应当将SQL注入攻击看作是一个对存储在数据库上数据的威胁,而应当看作是对整个网络的威胁。
5
研究内容(内容、结构框架以及重点、难点):
研究内容:
1 完成了对Web坏境的相关技术和理论研究
2 给出了SQL注入攻击的防御策略及方法
结构框架: 中控系统
第一章:绪论,给出了论文选题背景及选题意义,介绍了课题研究背景、研究意义,国内外研究现状,并对该论文的结构作简要说明。
第二章: Web工作原理与SQL数据库。介绍了Web工作原理、通信方式与应用架构,SQL查询语言的简单介绍及SQL注入的定义、特征、危害、攻击的成因,为理解SQL注入的生成过程提供一些背景知识
第三章:SQL注入攻击测试。SQL注入的定义、特征、危害、攻击的成因,为理解SQL注入的生成过程提供一些背景知识
第四章:SQL注入的实现。根据SQL注入攻击的步骤说明了一般的攻击技巧,并给出案例分析。
马洪老酒第五章: SQL注入攻击防御。针对SQL注入攻击提出防御策略。 重点:理解Web工作原理,SQL注入成因、原理及常用攻击技术和一般防御策略。 难点:SQL注入攻击的隐蔽性较强,防御体系难以对SQL各种攻击提供良好的防御。
6
研究方法、手段:
1、借鉴法:利用现有的书籍、代码和文献,对Web环境下SQL注入攻击和防御有一个认知,;简化研究过程,抓住重点和难点,做到有的放矢;
2、举例法:列举各种SQL注入攻击的一般性例子,以说明各种攻击的特性,以及在构建Web应用时防御策略提供方法。
3、对比法:对各种SQL注入攻击和防御之间特。性进行比较
4、实验法:对攻击过程进行系统模拟。
5、归纳法:通过对各种攻击和防御验的证,总结出现在SQL注入攻击和防御的变化方向和应用价值;
研究进度:
2011年12月8日——12月15日 确定选题、收集相关资料 二氧化氯
2011年12月16日——12月30日 收集资料,开展研究,形成写作提纲
2012年1月25日——3月16日 撰写开题报告与开题
2012年3月17日——5月10日 深入研究,形成论文初稿
