| 田伟,许静,杨巨峰,张莹,刘磊.模型驱动的Web应用SQL注入渗透测试[J].高技术通讯(中文),2012,22(11):1161~1168 |
| 模型驱动的Web应用SQL注入渗透测试 |
| Model driven penetration test of the SQL injection in Web applications |
| 修订日期:2011-10-10 |
| DOI:10.3772/j.issn.1002-0470.2012.11.009 |
| 中文关键词: Web, 渗透测试, 结构化查询语言(SQL)注入, 攻击建模, 安全漏洞, 用例 |
| 英文关键词: Web, penetration testing, structured query language (SQL) injection, attack model, vulnerability, test case |
| 基金项目:863计划(2009AA01Z152)和天津市自然科学基金重点(12JCZDJC20800)资助项目 |
| 作者 | 单位 | | 田伟 | 南开大学信息技术科学学院;南京大学计算机软件新技术重点实验室 | | 许静 | 南开大学信息技术科学学院;南京大学计算机软件新技术重点实验室 | | 杨巨峰 | 南开大学信息技术科学学院;南京大学计算机软件新技术重点实验室 | | 张莹 | 南开大学信息技术科学学院;南京大学计算机软件新技术重点实验室 | | 刘磊 | 南开大学信息技术科学学院;南京大学计算机软件新技术重点实验室 |
|
| 摘要点击次数: 3245 |
| 全文下载次数: 2830 |
| 中文摘要: |
| 针对结构化查询语言(SQL)注入渗透测试用例不充分造成测试漏报的问题,对基于形式化建模生成渗透测试用例问题进行了研究,提出了以下方法:将SQL注入漏洞渗透测试用例生成分为两步:第1步建立渗透测试用例的形式化模型,以用例模型更全面、有规律地描述当前各种SQL注入攻击的方法模式,指导生成更多种类的用例输入;第2步提出若干新的SQL注入漏洞渗透测试用例覆盖度准则,将用例模型实例化、生成覆盖更多样式的用例输入。实验表明,用上述方法生成的用例,优于当前其它研究中使用的随机枚举用例,可更有效地测出隐藏于Web应用不足防御措施之后的SQL注入漏洞,从而降低渗透测试结果的漏报。 |
| 英文摘要: |
| |
|
查看全文
查看/发表评论 下载PDF阅读器 |
| 关闭 |
