一种基于主动IAST的SQL注入漏洞检测方法、系统
基本信息
| 申请号 | CN202110576992.2 | 申请日 | - |
| 公开(公告)号 | CN113158197A | 公开(公告)日 | 2021-07-23 |
| 申请公布号 | CN113158197A | 申请公布日 | 2021-07-23 |
| 分类号 | G06F21/57;G06F21/56;G06F16/242;G06F16/28 | 分类 | 计算;推算;计数; |
| 发明人 | 张涛;宁戈;牛伟颖;刘恩炙 | 申请(专利权)人 | 北京安普诺信息技术有限公司 |
| 代理机构 | 北京万象新悦知识产权代理有限公司 | 代理人 | 贾晓玲 |
| 地址 | 100085 北京市海淀区安宁庄西路9号院25号楼8层2-807 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本申请提供一种基于主动IAST的SQL注入漏洞检测方法、系统,并涉及计算机软件安全测试技术领域。该方法包括:通过在服务端,对目标程序中的调用SQL语句对象的函数插桩探针,和使预先插桩的探针在模拟攻击时准确采集相应SQL执行语句,以及采集模拟攻击的Payload;根据采集的Payload和SQL执行语句,判断判断目标程序中潜藏了与之相应的SQL注入漏洞。较之现有技术,该方案,能够通过对目标程序插桩探针以感知目标程序的内部逻辑结构,作出更为准确的判断,以降低SQL注入漏洞检测的误报可能,且能够准确地定位检出漏洞的位置。 |
