[发明专利]SQL注入漏洞检测方法、装置、设备及可读存储介质

说明书

本发明公开了一种SQL注入漏洞检测方法、装置、设备及可读存储介质，该方法包括步骤：当获取到待测试网站的统一资源定位符URL请求后，确定所述URL请求的检测点，并构造所述检测点对应布尔逻辑参数的序列请求；获取执行所述URL请求和所述序列请求后得到的响应页面，对所述响应页面进行相似度分析，得到所述URL请求对应响应页面与所述序列请求中每一请求对应响应页面之间的相似度值；若所述相似度值满足预设条件，则确定所述URL请求存在SQL注入漏洞。本发明通过根据响应页面之间的相似度来判断URL请求是否存在SQL注入漏洞，提高了检测SQL注入漏洞的准确率。

技术领域

本发明涉及通信技术领域，尤其涉及一种SQL注入漏洞检测方法、装置、设备及可读存储介质。

背景技术

目前对SQL(Structured Query Language，结构化查询语言)注入漏洞的检测方法通过是基于布尔判断的检测方法。目前基于布尔判断的SQL注入漏洞检测方法，在检测序列请求方面，通常是原始URL请求一次，再构造一次逻辑真的SQL语句参数值，一次逻辑假的SQL语句参数值的请求，共3次请求。在对比判断多次请求的网站响应页面时，通常是根据网站响应的报文长度(Content-Length)来判断是否存在SQL注入漏洞。但是由于网络波动，服务器负载状态变化等不稳定性因素，以及Web2.0时代下的动态网页的出现，导致通过布尔判断来检测URL请求是否存在SQL注入漏洞的准确率低下。

发明内容

本发明的主要目的在于提供一种SQL注入漏洞检测方法、装置、设备及可读存储介质，旨在解决现有的检测SQL注入漏洞的准确率低下的技术问题。

为实现上述目的，本发明提供一种SQL注入漏洞检测方法，所述SQL注入漏洞检测方法包括步骤：

当获取到待测试网站的统一资源定位符URL请求后，确定所述URL请求的检测点，并构造所述检测点对应布尔逻辑参数的序列请求；

获取执行所述URL请求和所述序列请求后得到的响应页面，对所述响应页面进行相似度分析，得到所述URL请求对应响应页面与所述序列请求中每一请求对应响应页面之间的相似度值；

若所述相似度值满足预设条件，则确定所述URL请求存在SQL注入漏洞。

优选地，所述构造所述检测点对应布尔逻辑参数的序列请求的步骤包括：

为所述URL请求中的每一检测点构造一个逻辑真条件的请求，记为第一真请求；

为所述URL请求中的每一检测点构造一个逻辑假条件的请求，记为第一假请求，以形成包括所述第一真请求和第一假请求的序列请求。

优选地，所述为所述URL请求中的每一检测点构造一个逻辑假条件的请求，记为第一假请求，以形成包括所述第一真请求和第一假请求的序列请求的步骤包括：

为所述URL请求中的每一检测点构造一个逻辑假条件的请求，记为第一假请求，并为所述第一真请求构造逻辑真条件的确认请求，记为第二真请求；

为所述第一假请求构造逻辑假条件的确认请求，记为第二假请求，以形成包括所述第一真请求、第一假请求、第二真请求和第二假请求的序列请求。

优选地，所述若所述相似度值满足预设条件，则确定所述URL请求存在SQL注入漏洞的步骤包括：

若确定所述URL请求对应的第一响应页面与所述第一真请求对应的第二响应页面之间的第一杰卡德系数大于第一阈值，则判断所述第一响应页面与所述第一假请求对应的第三响应页面之间的第二杰卡德系数是否小于第二阈值；

若所述第二杰卡德系数小于所述第二阈值，则确定所述URL请求存在SQL注入漏洞。

优选地，所述若所述相似度值满足预设条件，则确定所述URL请求存在SQL注入漏洞的步骤包括：