失忆症

健忘症:用于中和SQL注入攻击的分析和监视。在我们的日常活动中,如阅读新闻、付账单和在线购物,web应用程序的使用已经变得越来越流行。随着这些服务可用性的增长,我们看到针对这些服务的攻击的数量和复杂性都在增加。特别是SQL注入(一类代码注入攻击,其中精心编制的输入字符串导致对数据库的非法查询),已成为web应用程序最严重的威胁之一。本文提出并评估了一种检测和预防SQL注入攻击的新技术。我们的技术使用基于模型的方法在非法查询在数据库上执行之前进行检测。在静态部分,该技术使用程序分析自动构建应用程序可以生成的合法查询的模型。在动态部分,该技术使用运行时监视来检查动态生成的查询,并对照静态构建的模型进行检查。我们开发了一个工具,AMNESIA,它实现了我们的技术,并使用这个工具在7个web应用程序上评估了该技术。在评估中,我们以大量合法和恶意输入为目标应用程序,并测量了我们的技术检测到和阻止了多少攻击。研究结果表明,我们的技术能够阻止所有企图的攻击,而不会产生任何误报。

这个软件也是同行评审按日记帐汤姆斯.


zbMATH中的参考文献(参考文献11条)

显示结果1到11,共11个。
按年份排序(引用)

  1. 李小伟;薛元(2014年《网络应用安全调查》)
  2. 兰萨,安德烈;达莫林,马塞洛;佩雷拉,费尔南多·马格诺·昆托;Bigonha,Roberto S.:污染变量攻击的有效静态检查器(2014)
  3. 福、香;鲍威尔,迈克尔·C。;班特吉,迈克尔;李忠志:简单线性字符串约束(2013)
  4. 李英勇;郑顺基;杨善洙;Moon,Jongsub:一种基于删除SQL查询属性值的SQL注入攻击检测新方法(2012)
  5. 马丁,布莱文博;杜尔斯特拉,Eelco;Visser,Eelco:用语法嵌入防止注入攻击(2010)
  6. 查克拉波蒂,阿尼迪亚;Majumdar,阿伦·K。;Sural,Shamik:从恶意事务中静态和动态恢复数据库的基于列依赖的方法(2010)ioport公司
  7. 吉尔,约瑟夫(约西);Lenz,Keren:使用\texttc++模板的简单安全的SQL查询(2010)
  8. 惠恩,托安;Miller,James:开源web应用程序实现漏洞的实证调查(2010)ioport公司
  9. 萨温,杰森;Rountev,Atanas:使用动态收集的环境信息改进Java中动态类加载的静态分辨率(2009)ioport公司
  10. 西达斯,I。;苗栗,G。;邦尼福,P.-F。;普莱梅诺斯。;Ghazanfarpour,D.:使用进化神经网络进行网络入侵检测(2008)
  11. 谢尔,穆罕默德;Magedanz,Thomas:用于保护NGN应用程序的漏洞分析和相应的中间件安全扩展(2007)