[發明專利]一種電力信息系統SQL注入漏洞檢測方法及系統有效
| 申請號: | 201911357101.3 | 申請日: | 2019-12-25 |
| 公開(公告)號: | CN111064735B | 公開(公告)日: | 2021-10-15 |
| 發明(設計)人: | 許靜;劉磊;朱靜雯;高紅燦;過辰楷;崔潔;李潔;張國強;陳亮;林永峰;石偉 | 申請(專利權)人: | 南開大學;國網天津市電力公司;國家電網有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 天津盛理知識產權代理有限公司 12209 | 代理人: | 王雨晴 |
| 地址: | 300350 天津*** | 國省代碼: | 天津;12 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 電力 信息系統 sql 注入 漏洞 檢測 方法 系統 | ||
1.一種電力信息系統SQL注入漏洞檢測方法,其特征在于,包括:
根據SQL語句的邏輯語義特征,獲取SQL注入漏洞的測試用例的語義特征;不同的語義特征對應不同的測試動作;
根據所述語義特征,基于SQL注入漏洞黑盒滲透測試的規則,構建每個語義特征對應的測試用例以及安全特征擴展有限狀態機模型;所述安全特征擴展有限狀態機模型包括每個測試用例的響應狀態以及狀態轉換規則;
根據所述測試用例,采用所述安全特征擴展有限狀態機模型對待檢測系統的SQL注入漏洞進行檢測,得到漏洞證據;
在上述步驟中,所述根據所述語義特征,基于SQL注入漏洞黑盒滲透測試的規則,構建每個語義特征對應的測試用例以及安全特征擴展有限狀態機模型,具體包括:
根據所述語義特征,構建不同狀態的語義特征對應的測試用例及所述測試用例對應的變體;所述變體為與所述測試用例具有相同結構和邏輯語義的測試用例;
獲取測試控制狀態;所述測試控制狀態包括分析狀態、存在漏洞狀態、無漏洞狀態、集合判斷狀態和終止狀態;
根據所述語義特征和所述測試控制狀態集合,確定所述安全特征擴展有限狀態機模型;所述安全特征擴展有限狀態機模型包括非空的有限狀態集合、有窮的輸入事件集合、狀態轉移函數、初始狀態、終止狀態的集合和同步變量集合;所述有限狀態集合的元素為所述語義特征的狀態和所述測試控制狀態;所述狀態轉移函數為接收所述輸入事件集合中的輸入后,由所述有限狀態集合中第一狀態轉移至所述有限狀態集合中第二狀態的映射函數;所述同步變量集合包括表示本輪測試對應的響應狀態的變量、表示本輪測試中測試用例的響應頁面與原始響應頁面是否發生異常的變量、表示漏洞證據數量的變量和表示測試用例集合是否為空的布爾變量;所述測試用例集合為未進行測試的測試用例集合。
2.根據權利要求1所述的電力信息系統SQL注入漏洞檢測方法,其特征在于,所述SQL注入漏洞的測試用例的語義特征包括:
錯誤注入特征E,表示造成數據庫錯誤的注入特征;
排序注入特征τ,表示進行排序操作的注入特征;
聯合查詢注入特征∪,表示進行聯合查詢操作的注入特征;
“與.真”注入特征∧T[--],表示注釋符可選的邏輯運算為與的真運算的注入特征,
“與.假”注入特征∧F,表示邏輯運算為與的假運算的注入特征;
“與.假”注入特征∧F--,表示以注釋符結束的邏輯運算為與的假運算的注入特征;
“或.真”注入特征∨T,表示邏輯運算為或的真運算的注入特征;
“或.假”注入特征∨F,表示邏輯運算為或的假運算的注入特征;
“IF.真”注入特征IF(T),表示與數據庫語句邏輯相同的注入特征;
“IF.假”注入特征IF(F),表示與數據庫語句邏輯不同的注入特征;
時間延遲注入特征TD(n),表示進行時間間隔為n秒的時間延遲注入特征。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于南開大學;國網天津市電力公司;國家電網有限公司,未經南開大學;國網天津市電力公司;國家電網有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201911357101.3/1.html,轉載請聲明來源鉆瓜專利網。
