[发明专利]一种SQL注入漏洞测试与验证方法及系统有效
| 申请号: | 201310439957.1 | 申请日: | 2013-09-24 |
| 公开(公告)号: | CN103530564A | 公开(公告)日: | 2014-01-22 |
| 发明(设计)人: | 孙歆;王红凯;李景;陈华智;韩嘉佳;周辉;卢新岱;王保卫 | 申请(专利权)人: | 国家电网公司;国网浙江省电力公司电力科学研究院;国网浙江省电力公司信息通信分公司;杭州辰青和业科技有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57;G06F11/36 |
| 代理公司: | 北京集佳知识产权代理有限公司 11227 | 代理人: | 王宝筠 |
| 地址: | 100031 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种SQL注入漏洞测试与验证方法及系统,基于JavaEE的WebApp框架,该方法通过用户输入URL,系统对URL进行解析或根据已知的HTTP request,自动从中提取参数和注入点,然后用户根据自身需要,选择注入点或自定义注入点加入请求中,并选择请求模式、请求协议和数据库服务器,系统从数据库中载入绕过技术配置、规则池中静态规则和动态规则数据,经过预处理后,由多线程管理器分配线程,交由扫描管理器进行SQL注入扫描,实现在保证自动化程度的前提下,降低漏报率。另外,本发明基于实际交互的HTTP报文,可自动识别报文中所有可能存在的注入点,也可自定义注入点,实现半自动化漏洞检测,可实现检测任何区域的SQL注入漏洞,进一步的降低漏报率。 | ||
| 搜索关键词: | 一种 sql 注入 漏洞 测试 验证 方法 系统 | ||
【主权项】:
一种SQL注入漏洞测试与验证方法,其特征在于,基于JavaEE的WebApp框架,该方法包括:S1、接收SQL注入管理员发送的SQL注入扫描指令,所述SQL注入扫描指令为URL或请求信息;S2、对指定Web应用服务器的Web应用进行SQL注入扫描;S3、根据所述SQL注入扫描指令创建新的线程,并记录用户信息和所述SQL注入管理员的请求信息到数据库服务器中;S4、对所述URL进行解析或根据已知的HTTP request,提取参数和注入点,根据所述SQL注入管理员的需求,选择请求模式、请求协议及对应数据库服务器;S5、载入绕过技术配置、规则池中的静态规则和动态规则数据;S6、对所述静态规则和动态规则数据进行预处理,并进行线程分配,由扫描管理器进行SQL注入扫描,得到扫描结果;S7、将所述扫描结果记录,并管理和记录在扫描过程中全程扫描情况。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家电网公司;国网浙江省电力公司电力科学研究院;国网浙江省电力公司信息通信分公司;杭州辰青和业科技有限公司,未经国家电网公司;国网浙江省电力公司电力科学研究院;国网浙江省电力公司信息通信分公司;杭州辰青和业科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201310439957.1/,转载请声明来源钻瓜专利网。
- 上一篇:建立无线连接的方法及无线中继器
- 下一篇:一种网络接入的方法和设备
