田伟,许静,杨巨峰,张莹,刘磊.模型驱动的Web应用SQL注入渗透测试[J].高技术通讯(中文),2012,22(11):1161~1168 |
模型驱动的Web应用SQL注入渗透测试 |
Model driven penetration test of the SQL injection in Web applications |
修订日期:2011-10-10 |
DOI:10.3772/j.issn.1002-0470.2012.11.009 |
中文关键词: Web, 渗透测试, 结构化查询语言(SQL)注入, 攻击建模, 安全漏洞, 用例 |
英文关键词: Web, penetration testing, structured query language (SQL) injection, attack model, vulnerability, test case |
基金项目:863计划(2009AA01Z152)和天津市自然科学基金重点(12JCZDJC20800)资助项目 |
作者 | 单位 | 田伟 | 南开大学信息技术科学学院;南京大学计算机软件新技术重点实验室 | 许静 | 南开大学信息技术科学学院;南京大学计算机软件新技术重点实验室 | 杨巨峰 | 南开大学信息技术科学学院;南京大学计算机软件新技术重点实验室 | 张莹 | 南开大学信息技术科学学院;南京大学计算机软件新技术重点实验室 | 刘磊 | 南开大学信息技术科学学院;南京大学计算机软件新技术重点实验室 |
|
摘要点击次数: 3604 |
全文下载次数: 3001 |
中文摘要: |
针对结构化查询语言(SQL)注入渗透测试用例不充分造成测试漏报的问题,对基于形式化建模生成渗透测试用例问题进行了研究,提出了以下方法:将SQL注入漏洞渗透测试用例生成分为两步:第1步建立渗透测试用例的形式化模型,以用例模型更全面、有规律地描述当前各种SQL注入攻击的方法模式,指导生成更多种类的用例输入;第2步提出若干新的SQL注入漏洞渗透测试用例覆盖度准则,将用例模型实例化、生成覆盖更多样式的用例输入。实验表明,用上述方法生成的用例,优于当前其它研究中使用的随机枚举用例,可更有效地测出隐藏于Web应用不足防御措施之后的SQL注入漏洞,从而降低渗透测试结果的漏报。 |
英文摘要: |
|
查看全文
查看/发表评论 下载PDF阅读器 |
关闭 |