基于云计算的注入漏洞检测系统及其注入方法
【技术领域】
[0001]本发明公开了一种基于云计算的注入漏洞检测系统及其注入方法,属于计算机软件应用开发领域,该系统包括云基础设施层、中间件层、显示层和管理层。所述的云基础设施层采用了 VMware虚拟化技术和关系型数据库,用于为软件系统提供硬件环境;中间件层采用REST技术和分布式缓存技术,可用于支撑显示层,也可以直接让用户调用;显示层采用C++语言编写的SQL注入漏洞检测工具,主要设计用于ASP语言编写的网站页面的注入漏洞检测,部分功能也适用于其他语言编写的页面;管理层采用SLA监控、信誉管理技术、负载均衡和运维管理。与现有技术相比,本发明采用差异概率检测方式和Cookie注入方式,单、多线程同步检测切换,手工自动切换,站点反向解析、Unicode反编码等注入方法,在注入漏洞检测的准确性、稳定性及检测速度上均有较好的表现,尤其对使用了 MS SQL后台数据库的页面存在的注入漏洞有着极高的识别率。
【背景技术】
[0002]SQL注入是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力。检查SQL注入漏洞主要涉及到两方面,一是审计用户的Web应用程序,二是通过使用自动化的SQL注入扫描器执行审记的最佳方法。主要的技术包括以下软件,SQLIer通过找到网站上一个有SQL注入漏洞的URL,并根据有关信息来生成利用SQL注入漏洞,但它不要求用户的交互。SQLMap用python开发,它能执行一个动态的数据库管理系统指纹识别,可以完整地穷举远程数据库。其目标是实施一个完整的功能性数据库管理系统工具,它能够利用Web应用程序程序设置的全部缺陷,这些安全缺陷可以导致SQL注入漏洞。在SQLMap检测到目标系统上的一个或多个SQL注入漏洞之后,用户就可以从多种选项中选择,进而执行全面的后端数据库管理系统指纹识别,检索数据库管理系统会话用户和数据,穷举用户、口令、数据库,运行其自身的SQL SELECT语句,读取文件系统上的特定文件等。SQLID是一个SQL注入漏洞挖掘器,是一个命令行实用程序,它能够查找SQL注入漏洞和网站中的常见错误。它可以执行以下几种操作:查找网页中的SQL注入漏洞,测试提交的表单,查找SQL注入漏洞的可能性。SQL Power Injector可帮助渗透测试人员找到并利用网页上的漏洞。Sqlninja可以利用以SQL Server为后端数据支持的应用程序的漏洞,其主要目标是提供对有漏洞的数据库服务器的远程访问。现有技术未提供云计算环境下的应用模式,注入方法比较单一,注入漏洞检测的识别率较低,注入漏洞检测的准确性、稳定性及检测速度上与本方法相比有明显差异。
【发明内容】
[0003]本发明提供了一种云计算环境下注入漏洞检测系统及其注入方法。本发明主要解决技术问题有:1.解决中小企业信息化过程中的注入漏洞检测问题;2.注入漏洞检测速度慢的技术问题;3.注入方式单一的技术问题;4.注入漏洞检测的准确性不高,识别率低的技术问题。本发明采用的技术方案是:1.该系统包括云基础设施层、中间件层、显示层和管理层。所述的云基础设施层采用了 VMware虚拟化技术和关系型数据库,用于为软件系统提供硬件环境;中间件层采用REST技术和分布式缓存技术,可用于支撑显示层,也可以直接让用户调用;显示层采用C++语言编写的SQL注入漏洞检测系统,主要设计用于ASP语言编写的网站页面的注入漏洞检测,部分功能也适用于其他语言编写的页面;管理层采用SLA监控、信誉管理技术、负载均衡和运维管理。2.采用C++语言编写的SQL注入漏洞检测工具;3.采用了选项卡菜单,它们主要用于完成以下操作:注入点检测、数据库名检测、表名检测、字段名检测、字段内容检测、后台地址搜索、搜索同一 IP地址的所有域名、注入检测语句的动态修改、利用MS SQL数据库枚举文件目录及备份、URL地址的编解码、Unicode串的解码、字典维护。本发明主要有以下的优点:1.独特的差异概率检测方式,通过对被检测的页面提交SQL注入检测语句,在多数情况下,返回的页面长度值可用于判定该页面是否存在,或存在部分注入漏洞(如没有正确或完整修复注入漏洞的站点)。差异概率用量化的方式体现了页面有无注入漏洞的区别;2.动态修改注入检测语句,由于不同HTTP服务器及站点页面代码间存在的众多差异,动态修改注入检测语句成为了注入检测是否取得成功的必备功能。使用软件的日志功能,检测者可正确分析何时修改检测语句,以完成存在部分注入漏洞的页面检测。3.软件采用Unicode反编码手段以正确解析网站后台数据库存储的中文信息;4.Cookie注入方式,Get或Post方式的注入方式已经为绝大多数站点所防范,但仍存在忽略Cookie注入方式的站点,特别对使用了“通过防注入代码”的站点更易以此方式检出注入漏洞;5.对站点的反向解析,获得服务器上所有网站的基本信息是SQL注入检测的一个重要工作,软件通过对检测对象的反向解析以获得这些信息6.完善的管理后台地址列表,,越来越多的网站不再使用默认的后台地址(如admin),因此拥有足够数量的管理后台地址成为SQL注入检测是否取得成功的另一个关键;7.完善的日志功能。检测者通过分析检测过程中产生的详细日志,可以了解、分析站点是否采取了一定的安全防护措施。另一方面,也可仅查看简洁日志,以提高检测效率。
【主权项】
1.一种云计算环境下注入漏洞检测系统,其特征在于,所述系统包括:云基础设施层采用了 VMware虚拟化技术和关系型数据库,用于为软件系统提供硬件环境;中间件层采用REST技术和分布式缓存技术,可用于支撑显示层,也可以直接让用户调用;显示层采用C++语言编写的SQL注入漏洞检测工具,采用选项卡菜单完成注入点检测、数据库名检测、表名检测、字段名检测、字段内容检测、后台地址搜索、搜索同一 IP地址的所有域名、注入检测语句的动态修改、利用MS SQL数据库枚举文件目录及备份、URL地址的编解码、Unicode串的解码、字典维护,主要设计用于ASP语言编写的网站页面的注入漏洞检测,部分功能也适用于其他语言编写的页面;管理层采用SLA监控、信誉管理技术、负载均衡和运维管理。
2.—种云计算环境下注入漏洞检测系统,其特征在于,包括:1)应用接口,与后台数据库进行交互的接口 ;2)差异概率检测方式,提交SQL注入检测语句,以页面长度值判定该页面是否存在,或存在部分注入漏洞;3)动态修改注入检测语句;4)采用Unicode反编码解析网站后台数据库存储的中文信息;5) Cookie注入方式;6)对站点的反向解析。
【专利摘要】基于云计算的注入漏洞检测系统,是一种将传统的注入漏洞检测软件与新兴的云计算技术结合,为互联网络上的虚拟主机站点提供注入漏洞实时检测的在线检查系统。它主要解决了传统注入漏洞检测软件存在的几个问题:(1)单机版,不提供在线检测功能(2)软件更新不及时,不能防范最新出现的注入漏洞利用方式(3)需要检测人员具备较高的网络安全理论知识。本发明利用独创的差异概率检测方式,结合云计算技术,可为虚拟主机站点提供实时的注入漏洞检测服务,后台数据库定期更新检测项目,使用者仅需提供主机地址就可获取详细的检测报告,不设置任何技术门槛。本发明适用于以C#或ASP语言编写的主机站点所含注入漏洞的检测。
【IPC分类】G06F21-57
【公开号】CN104636667
【申请号】CN201310559327
【发明人】梁佐云, 何昱
【申请人】梁佐云
【公开日】2015年5月20日
【申请日】2013年11月12日