-
题名模型驱动的Web应用SQL注入渗透测试
被引量:5
- 1
-
-
作者
田伟
许静
杨巨峰
张莹
刘磊
-
机构
南开大学信息技术科学学院
南京大学计算机软件新技术重点实验室
-
出处
《高技术通讯》
CAS
CSCD
北大核心
2012年第11期1161-1168,共8页
-
基金
863计划(2009AA012152)和天津市自然科学基金重点(12JCZDJC20800)资助项目.
-
文摘
针对结构化查询语言(SQL)注入渗透测试用例不充分造成测试漏报的问题,对基于形式化建模生成渗透测试用例问题进行了研究,提出了以下方法:将SQL注入漏洞渗透测试用例生成分为两步:第1步建立渗透测试用例的形式化模型,以用例模型更全面、有规律地描述当前各种SQL注入攻击的方法模式,指导生成更多种类的用例输入;第2步提出若干新的SQL注入漏洞渗透测试用例覆盖度准则,将用例模型实例化、生成覆盖更多样式的用例输入。实验表明,用上述方法生成的用例,优于当前其它研究中使用的随机枚举用例,可更有效地测出隐藏于Web应用不足防御措施之后的SQL注入漏洞,从而降低渗透测试结果的漏报。
-
关键词
WEB
渗透测试
结构化查询语言(SQL)注入
攻击建模
安全漏洞
用例
-
Keywords
Web, penetration testing, structured query language (SQL) injection, attack model, vulnerabili-ty, test case
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名Web系统安全问题与防护机制研究
被引量:6
- 2
-
-
作者
陈刚
逯柳
-
机构
哈尔滨石油学院
-
出处
《无线互联科技》
2019年第15期108-109,共2页
-
基金
黑龙江省自然科学基金项目
项目编号:LH2019F045
-
文摘
文章分析了SQL注入、XSS,CSRF、文件上传漏洞等常见Web系统安全问题的攻击方式和原理,并给出了防护机制和解决方法,能有效提高Web系统运作时的安全性和鲁棒性。
-
关键词
Web系统安全
结构化查询语言注入
跨站脚本攻击
跨站请求伪造攻击
文件上传漏洞
-
Keywords
Web system security
structured query language injection
cross-site request forgery
file upload vulnerability
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
