一种适用于多环境下的Web应用的Sql注入漏洞扫描分析系统的制作方法

本发明涉及信息安全领域，具体为一种适用于多环境下的web应用的sql注入漏洞扫描分析方法、系统及介质。

背景技术：

1、internet发展到今天，基于web和数据库架构的应用系统已经成为主流，广泛应用于企业内部和外部的业务系统中。再高速公路不断扩展，电子政务、电子商务和各种基于web应用的业务模式不断成熟的今天，由网络钓鱼、sql注入、网页木马和跨站脚本等攻击事件带来的严重后果，将影响人们对web应用的信息。

2、因此，亟需一种能够主动地发现网络得风险隐患，并及时采取修补措施，降低风险、减少损失的web应用的sql注入漏洞扫描分析方法、系统及介质。

技术实现思路

1、(一)解决的技术问题

2、针对现有技术的不足，本发明提供了一种能够主动地发现网络得风险隐患，并及时采取修补措施，降低风险、减少损失的适用于多种环境下的sql注入漏洞扫描方法、系统及介质。

3、(二)技术方案

4、为实现以上目的，本发明通过以下技术方案予以实现：一种适用于多环境下的web应用的sql注入漏洞扫描分析方法，包括：

5、s1:从rl中选择带参数的url，并解析出参数；

6、s2:读取一个参数，用测试脚本替代它，构造测试url；

7、s3:进行基于服务器响应信息中的特征检测。

8、优选地，步骤s3中，如果检测出漏洞，则保存漏洞信息，获取下一个参数进行测试。

9、优选地，步骤s3中，如果没有检测出漏洞，则进行s4：基于1＝1 1＝2的漏洞检测。

10、优选地，如果步骤s4检测出漏洞，则保存漏洞信息，获取下一个参数进行测试。

11、优选地，还包括s5：url中参数检测完后，获取下一个url测试。

12、本发明另一目的在于，提供一种适用于多环境下的web应用的sql注入漏洞扫描分析的系统，包括：存储器和处理器及存储在所述存储器上并可在所述处理器上运行的一种适用于多环境下的web应用的sql注入漏洞扫描分析的程序，所述一种适用于多环境下的web应用的sql注入漏洞扫描分析的程序配置为实现如前所述的一种适用于多环境下的web应用的sql注入漏洞扫描分析方法步骤。

13、本发明的另一目的在于提供一种存储介质，所述存储介质上存储有适用于多环境下的web应用的sql注入漏洞扫描分析的程序，所述适用于多环境下的web应用的sql注入漏洞扫描分析的程序被处理器执行时实现如前所述的一种适用于多环境下的web应用的sql注入漏洞扫描分析的系统步骤。

14、有益效果

15、本发明提供了一种适用于多环境下的web应用的sql注入漏洞扫描分析方法、系统及介质。具备以下有益效果：

16、本发明能够主动地发现网络得风险隐患，并及时采取修补措施，降低风险、减少损失。

17、本发明在web开发、测试、维护、运营的整个生命周期中，帮助企业高效地发现问题，最大限度的保证应用安全。

技术特征：

1.一种适用于多环境下的web应用的sql注入漏洞扫描分析方法，其特征在于，包括：

2.根据权利要求1所述的适用于多环境下的web应用的sql注入漏洞扫描分析方法，其特征在于：步骤s3中，如果检测出漏洞，则保存漏洞信息，获取下一个参数进行测试。

3.根据权利要求1所述的适用于多环境下的web应用的sql注入漏洞扫描分析方法，步骤s3中，如果没有检测出漏洞，则进行s4：基于1＝1 1＝2的漏洞检测。

4.根据权利要求3所述的适用于多环境下的web应用的sql注入漏洞扫描分析方法，其特征在于，如果步骤s4检测出漏洞，则保存漏洞信息，获取下一个参数进行测试。

5.根据权利要求1、2或4所述的适用于多环境下的web应用的sql注入漏洞扫描分析方法，其特征在于：还包括s5：url中参数检测完后，获取下一个url测试。

6.一种适用于多环境下的web应用的sql注入漏洞扫描分析的系统，其特征在于，包括：存储器和处理器及存储在所述存储器上并可在所述处理器上运行的一种适用于多环境下的web应用的sql注入漏洞扫描分析的程序，所述一种适用于多环境下的web应用的sql注入漏洞扫描分析的程序配置为实现如权利要求1-5任一所述的一种适用于多环境下的web应用的sql注入漏洞扫描分析方法步骤。

7.一种存储介质，其特征在于，所述存储介质上存储有适用于多环境下的web应用的sql注入漏洞扫描分析的程序，所述适用于多环境下的web应用的sql注入漏洞扫描分析的程序被处理器执行时实现如权利要求1-5任一所述的一种适用于多环境下的web应用的sql注入漏洞扫描分析的系统步骤。

技术总结
本发明提供一种适用于多环境下的Web应用的Sql注入漏洞扫描分析方法、系统及介质，涉及信息安全领域，包括SQL入洞检测执行过程:从RL中选择带参数的URL，并解析出参数。读取一个参数，用测试脚本替代它，构造测试URL。进行基于服务器响应信息中的特征检测，如果检测出漏洞，则保存漏洞信息，获取下一个参数进行测试。如果第三步没有检测出漏洞，则进行基于1＝1 1＝2的漏洞检测。如果检测出漏洞，则保存漏洞信息，获取下一个参数进行测试。URL中参数检测完后，获取下一个URL测试。本发明能够主动地发现网络得风险隐患，并及时采取修补措施，降低风险、减少损失。

技术研发人员：王小东,杨小帅,请求不公布姓名
受保护的技术使用者：北京天地和兴科技有限公司
技术研发日：
技术公布日：2024/1/12