一种SQL注入漏洞测试与验证方法及系统
基本信息
| 申请号 | CN201310439957.1 | 申请日 | - |
| 公开(公告)号 | CN103530564B | 公开(公告)日 | 2016-04-13 |
| 申请公布号 | CN103530564B | 申请公布日 | 2016-04-13 |
| 分类号 | G06F21/57(2013.01)I;G06F11/36(2006.01)I | 分类 | 计算;推算;计数; |
| 发明人 | 孙歆;王红凯;李景;陈华智;韩嘉佳;周辉;卢新岱;王保卫 | 申请(专利权)人 | 杭州辰青和业科技有限公司 |
| 代理机构 | 北京集佳知识产权代理有限公司 | 代理人 | 国家电网公司;国网浙江省电力公司电力科学研究院;国网浙江省电力公司信息通信分公司;杭州辰青和业科技有限公司 |
| 地址 | 100031 北京市西城区西长安街86号 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本发明公开了一种SQL注入漏洞测试与验证方法及系统,基于JavaEE的WebApp框架,该方法通过用户输入URL,系统对URL进行解析或根据已知的HTTP?request,自动从中提取参数和注入点,然后用户根据自身需要,选择注入点或自定义注入点加入请求中,并选择请求模式、请求协议和数据库服务器,系统从数据库中载入绕过技术配置、规则池中静态规则和动态规则数据,经过预处理后,由多线程管理器分配线程,交由扫描管理器进行SQL注入扫描,实现在保证自动化程度的前提下,降低漏报率。另外,本发明基于实际交互的HTTP报文,可自动识别报文中所有可能存在的注入点,也可自定义注入点,实现半自动化漏洞检测,可实现检测任何区域的SQL注入漏洞,进一步的降低漏报率。 |
