一種基于主動IAST的SQL注入漏洞檢測方法、系統(tǒng)

基本信息

申請?zhí)?/td> CN202110576992.2 申請日 -
公開(公告)號 CN113158197A 公開(公告)日 2021-07-23
申請公布號 CN113158197A 申請公布日 2021-07-23
分類號 G06F21/57;G06F21/56;G06F16/242;G06F16/28 分類 計算;推算;計數(shù);
發(fā)明人 張濤;寧戈;牛偉穎;劉恩炙 申請(專利權)人 北京安普諾信息技術有限公司
代理機構 北京萬象新悅知識產(chǎn)權代理有限公司 代理人 賈曉玲
地址 100085 北京市海淀區(qū)安寧莊西路9號院25號樓8層2-807
法律狀態(tài) -

摘要

摘要 本申請?zhí)峁┮环N基于主動IAST的SQL注入漏洞檢測方法、系統(tǒng),并涉及計算機軟件安全測試技術領域。該方法包括:通過在服務端,對目標程序中的調用SQL語句對象的函數(shù)插樁探針,和使預先插樁的探針在模擬攻擊時準確采集相應SQL執(zhí)行語句,以及采集模擬攻擊的Payload;根據(jù)采集的Payload和SQL執(zhí)行語句,判斷判斷目標程序中潛藏了與之相應的SQL注入漏洞。較之現(xiàn)有技術,該方案,能夠通過對目標程序插樁探針以感知目標程序的內部邏輯結構,作出更為準確的判斷,以降低SQL注入漏洞檢測的誤報可能,且能夠準確地定位檢出漏洞的位置。