[发明专利]SQL注入检测方法、装置、设备及计算机存储介质

说明书

本发明涉及金融科技(Fintech)技术领域，并公开了一种SQL注入检测方法，该方法包括：将预设的非正常请求发送至待测试网站，以获取所述待测试网站反馈的响应页面，并基于所述响应页面确定所述待测试网站中是否存在WAF；若不存在WAF，则检测所述待测试网站的网络是否稳定；若稳定，则对所述非正常请求对应的正常请求进行过滤处理，检测经过过滤处理的所述正常请求中是否存在动态参数；若存在动态参数，则根据所述动态参数对所述待测试网站进行SQL注入检测。本发明还公开了一种SQL注入检测装置、设备和一种计算机存储介质。本发明提高了SQL注入检测的准确性。

技术领域

本发明涉及金融科技(Fintech)技术领域，尤其涉及SQL注入检测方法、装置、设备及计算机存储介质。

背景技术

随着计算机技术的发展，越来越多的技术(大数据、分布式、区块链Blockchain、人工智能等)应用在金融领域，传统金融业正在逐步向金融科技(Fintech)转变，但由于金融行业的安全性、实时性要求，也对SQL(Structured Query Language，结构化查询语言)注入检测技术提出了更高的要求。目前是通过修改http(超文本传输协议)参数的值，如在参数中添加某些能让数据库出错的语句，或者是将参数替换为某些能让数据库条件语句恒为真的语句，然后在检测返回的数据包中是否存在SQL注入的，但是这种方法对部署了WAF(WebApplication Firewall，网站应用级入侵防御系统)的战点无法进行有效的检测，漏报率高。并且也只能针对返回的http相应包进行字符串匹配，误报率高，使得SQL注入检测的准确率低。因此如何提高SQL注入检测的准确性成为了目前亟待解决的技术问题。

发明内容

本发明的主要目的在于提出一种SQL注入检测方法、装置、设备及计算机存储介质，旨在解决如何提高SQL注入检测的准确性的技术问题。

为实现上述目的，本发明提供一种SQL注入检测方法，所述SQL注入检测方法包括如下步骤：

将预设的非正常请求发送至待测试网站，以获取所述待测试网站反馈的响应页面，并基于所述响应页面确定所述待测试网站中是否存在WAF；

若不存在WAF，则检测所述待测试网站的网络是否稳定；

若稳定，则对所述非正常请求对应的正常请求进行过滤处理，检测经过过滤处理的所述正常请求中是否存在动态参数；

若存在动态参数，则根据所述动态参数对所述待测试网站进行SQL注入检测。

可选地，所述根据所述动态参数对所述待测试网站进行SQL注入检测的步骤，包括：

将所述动态参数发送至所述待测试网站，以获取所述待测试网站反馈的标准返回值；

对所述动态参数进行修改，并将修改后的动态参数发送至所述待测试网站，以获取所述待测试网站反馈的修改返回值，并检测所述标准返回值和所述修改返回值之间的相似度是否小于预设值；

若所述相似度小于预设值，则确定所述待测试网站存在SQL注入。

可选地，所述所述检测所述标准返回值和所述修改返回值之间的相似度是否小于预设值的步骤包括：

检测所述待测试网站反馈修改返回值的延迟时间是否大于预设延迟时间；

若所述延迟时间大于预设延迟时间，则确定所述待测试网站存在SQL注入；

若所述延迟时间小于或等于预设延迟时间，则检测所述标准返回值和所述修改返回值之间的相似度是否小于预设值。

可选地，所述基于所述响应页面确定所述待测试网站中是否存在WAF的步骤，包括：

检测所述响应页面对应的响应时间是否大于预设响应时间；