畢業(yè)設計外文資料翻譯學院：專業(yè)班級：）學生姓名：學號：指導教師：外文出處：SQL注入攻擊檢測和預防調(diào)查附件：1.外文資料翻譯譯文；2.外文原文指導教師評語：該英文資料選擇合理，與畢業(yè)設計論文相關(guān)度較高。專業(yè)術(shù)語、詞匯翻譯的準確度較高，體現(xiàn)了較強的專業(yè)英語應用水平。翻譯工作認真細致，嚴格按照規(guī)定，翻譯材料基本能與原文能保持一致，能正確表達出原文意思，細節(jié)處理得當，保持準確。翻譯字、詞數(shù)滿足要求。翻譯材料語句較通順，符合中文的表達習慣。翻譯工作能夠嚴格按照規(guī)定，達到考核、提高學生英語應用水平的目的，圓滿完成要求。簽名：年月日

1．外文資料翻譯譯文SQL注入攻擊檢測和預防調(diào)查介紹隨著萬維網(wǎng)的發(fā)展，各組織開始變得更加復雜，組織者覺得管理他們的網(wǎng)站變得越來越復雜。但是隨著因特網(wǎng)的廣泛使用,一些用戶為危害組織的網(wǎng)站工作,這些用戶被稱為網(wǎng)絡犯罪或網(wǎng)站攻擊者。SQL注入攻擊是最威脅Web應用安全的方式之一，SQL注入是最嚴重的漏洞類型。SQLIA很容易學習和利用，因此這種攻擊方法是很容易被攻擊者利用。在檢測系統(tǒng)中，防病毒和反惡意軟件無法檢測到這種類型的攻擊，不同的安全層還有許多重大的和傳統(tǒng)的安全系統(tǒng)。SQLIA高科技已變得更加普遍，更加雄心勃勃，簡單易學實施，日益成熟，因此有必要在計算機安全領(lǐng)域找到這一問題的有效和可行的解決方案。SQL是一種文本關(guān)系數(shù)據(jù)庫語言。有許多品種的SQL，然而，各種方言之間的差異是次要的。SQL函數(shù)擬合分為兩類：?數(shù)據(jù)定義語言（DDL）：用來創(chuàng)建表和定義訪問權(quán)限；?數(shù)據(jù)操縱語言（DML）：SQL命令，允許一個插入，更新，刪除和檢索數(shù)據(jù)庫表中的數(shù)據(jù)。執(zhí)行的SQL的典型單位是查詢，這是語句通常返回一個結(jié)果的集合。SQL注入是一種通過利用非有效的SQL漏洞的優(yōu)勢通過防火墻來攻擊數(shù)據(jù)庫。它是由其中一個基于Web的應用的參數(shù)，以改變被傳遞到后端數(shù)據(jù)庫的SQL語句被修改的方法。攻擊者可以通過操縱數(shù)據(jù)輸入，例如，通過添加單引號（'）的參數(shù)插入一系列SQL語句形成一個查詢。它能夠使第二次查詢，以與第一次一起執(zhí)行。程序員常常用SQL鏈語句，使用用戶提供的參數(shù)命令組合在一起，因此可以嵌入這些SQL命令的參數(shù)內(nèi)，這就是所謂的動態(tài)SQL。必須指出的是，動態(tài)SQL必須使用在應用程序或SQL注入是不可能的。SQL注入被描述為一個“代碼漏洞”，也就是嚴重的任何IIS漏洞。使用SQL注入對數(shù)據(jù)庫的攻擊可能出于三個主要目標：1）從不常涉及的數(shù)據(jù)所在數(shù)據(jù)庫竊取數(shù)據(jù)。2）為了獲得系統(tǒng)配置數(shù)據(jù)，允許攻擊概要文件。這方面的一個例子就是獲得所有的數(shù)據(jù)庫密碼哈希值，使得密碼可以暴力破解。為了獲得通過機器主機可以使用包的程序和3GL語言擴展，允許O/S訪問來實現(xiàn)對數(shù)據(jù)庫的訪問到組織的主計算機。2.背景示例當攻擊者攻擊的時候會導致Web應用程序生成的SQL查詢結(jié)果不是程序員想要的用戶界面和功能。例如：Selectid,firstname,lastnamefromauthors;該語句將檢索“ID”，“用的名字”和“姓”列從“作者”表，返回所有表中的行。“結(jié)果集合”將被限制到特定的“作者”使用“，其中“where”條款。Selectid,firstname,lastnamefromauthorswherefirstname=“James”andlastname=“Baker”;有關(guān)的工作和SQLIA的意見這里有SQLIA對數(shù)據(jù)庫的四大類：1）SQL操作：操作是通過使用各種操作修改的過程，例如UNIONSQL語句的過程。另一種方法為使用SQL操作方法執(zhí)行SQL注入是通過改變SQL語句的where子句，以獲得不同的結(jié)果。2）代碼注入：代碼注入是插入新的SQL語句或數(shù)據(jù)庫命令插入漏洞的SQL語句的過程。其中的代碼注入攻擊是追加一個SQLServer執(zhí)行命令的弱勢SQL語句。當支持每個數(shù)據(jù)庫請求多個SQL語句這種類型的攻擊是唯一可能的。3）功能調(diào)用注入：函數(shù)調(diào)用注入是調(diào)用到一個脆弱的SQL語句插入不同的數(shù)據(jù)庫功能的過程。這些函數(shù)調(diào)用可以使操作系統(tǒng)調(diào)用或數(shù)據(jù)庫中的數(shù)據(jù)進行操作。4）緩沖區(qū)溢出：緩沖區(qū)溢出是通過函數(shù)調(diào)用注入引起的。對于大多數(shù)商業(yè)和開源數(shù)據(jù)庫，這些補丁。這種類型的攻擊是可能的，當服務器打補丁。4.存在的問題SQL注入是不是一個新問題。它的發(fā)現(xiàn)日期是不確定的。然而，在過去的幾年里，SQLIA一直在上升。應用已經(jīng)被證明是，盡管所有的努力，以限制在形成返回到客戶端脆弱。有公司已在努力提供一種解決這一問題開發(fā)的幾個應用程序。有些被概括如下：?安全球采用先進的異常檢測，事件關(guān)聯(lián)，以及廣泛的簽名詞典來保護Web應用程序和數(shù)據(jù)庫。它還使用來自同一用戶的錯誤響應，以確定攻擊。?國防部安全對于Web應用程序，它可以提供關(guān)于如何檢測SQL注入有用的技巧，一個開源的入侵檢測引擎。已經(jīng)開發(fā)國防部安全用于Java是一個Servlet2.3過濾器，代表一個瀏覽器和應用程序之間，監(jiān)視請求和響應，因為它們是經(jīng)過，以防止攻擊介入適當?shù)臅r候。?氣閘將安全反向代理與入侵防御，內(nèi)容過濾，用戶認證強制執(zhí)行，而應用級負載均衡和故障轉(zhuǎn)移（Solutions的氣密室被授予瑞科技獎2003）。?VIPER工具滲透測試據(jù)安杰洛Ciampa，科拉多亞倫Visaggio和的Massimiliano，他們已經(jīng)提出了一個叫做Viper執(zhí)行的Web應用程序滲透測試工具。該工具依賴于啟發(fā)式的知識基礎，指導的SQL查詢的生成。此工具首先確定的超級鏈接結(jié)構(gòu)，并從它的輸入。?SQLr和切實保護機制SWBoyd和ADKeromytis曾建議切實保護機制，以防止SQL對Web服務器。這個工具使用SQL查詢隨機CGI應用程序，并發(fā)現(xiàn)和糾正查詢中，投影到代碼。?綠色SQL是一個免費的開源數(shù)據(jù)庫防火墻位于Web服務器和數(shù)據(jù)庫服務器之間，用于防止SQL注入攻擊的數(shù)據(jù)庫。該邏輯是基于SQL的評價命令，利用風險評分矩陣以及阻止已知的數(shù)據(jù)庫管理命令（如DROP，CREATE，等）。重新端口上的時間戳，查詢模式，原因受阻產(chǎn)生的（例如，真實表達，有“或”標記）。它有批準SQL模式的白名單。然而，目前只支持MySQL數(shù)據(jù)庫。相比較而言，在該項目中的IDS可以使用具有任何關(guān)系數(shù)據(jù)庫，而不僅僅是MySQL的。國內(nèi)流離失所者有黑色和白色兩種列表模式功能。?點后衛(wèi)它是一個Web應用防火墻，提供了一個SQL注入的解決方案。點后衛(wèi)是Apache和IISWeb服務器上運行的多平臺解決方案。中央管理確保單點控制和報告所有服務器。有一個在Web應用程序前端應用層防火墻。它擁有一套安全規(guī)則，使它成為一個強大的解決方案。然而，成本過高。?代碼掃描Labs的SQL注入檢測產(chǎn)品它可以掃描所選代碼的語法漏洞的Web應用程序源代碼的能力。隨后，它會生成一個“調(diào)試作風”的報告。速度取決于大型Web應用程序是和它的復雜性。該代碼掃描軟件不修復代碼，但是，它僅僅指出了問題。該公司提供21天的免費試用，但通常需要每年訂閱來維持。實際價格沒有公布，一個必須聯(lián)系銷售代表來找出成本。一個單獨的激活密鑰都需要不同的編程語言和附加功能。?靜態(tài)分析靜態(tài)分析，提出了使用靜態(tài)分析可以發(fā)現(xiàn)和防止SQLIA在編譯時的方法。這種技術(shù)只專注于套套邏輯，但它不能檢測到非法、背負式的存儲過程SQL注入攻擊。?動態(tài)分析動態(tài)分析是從靜態(tài)分析不同。但是，靜態(tài)分析來檢測在編譯時查詢。因此，攻擊者通過高級查詢Web應用程序，它很容易受到攻擊。但是，動態(tài)分析可以用來檢測和注射查詢，防止運行時自動運行。但這種方法做非法，工會，背負式，存儲過程SQL注入攻擊沒有的問題。?組合的靜態(tài)分析和動態(tài)分析合并的靜態(tài)分析和動態(tài)分析方法的優(yōu)點是能夠檢測的SQL，它相比其他技術(shù)更復雜。它可以不通過其他方法來解決該問題。AMNESIA是靜態(tài)和動態(tài)分析相結(jié)合的基于模型的技術(shù)。5.設計注意事項當前數(shù)據(jù)庫返回語句的結(jié)果到客戶端。請求和結(jié)果由從客戶機到數(shù)據(jù)庫的鏈路進行再返回。該項目旨在通過使用過濾代理服務器的，這將被放置在所述兩個通信裝置，即Web應用程序或客戶端和數(shù)據(jù)庫之間，以消除SQL注入的可能性。這增加了保護層將允許可能的SQL注入嘗試的過濾和提供數(shù)據(jù)庫與防御的最后手段。項目的主要目標是：?分析SQL查詢命令的結(jié)構(gòu)。?建立一個分析器，將檢查SQL語句允許的模式。?構(gòu)建常見的SQL注入命令的列表。?創(chuàng)建一個代理服務器，它會提醒可能的SQL注入命令數(shù)據(jù)庫管理員。?防止SQL注入攻擊利用這個代理服務器的數(shù)據(jù)庫。?證明SQL注入可以利用開發(fā)工作在代理服務器上的過濾器來防止。6.SQL簽名過濾理想的解決方案是構(gòu)建一個檢查SQL注入所有的可能情況下的過濾器。這樣做的問題是，所有可能的注射字符串的列表是不可能定義。這是建議在他們的論文中的“SQL注入簽名規(guī)避”。然而，通過使用白名單，可以定義什么是允許的，從而防止無效簽名。過濾應用程序應該盡量降低其靠近數(shù)據(jù)庫的可能。理想情況下，數(shù)據(jù)庫應該運行在同一臺機器上的，但是這可能會影響性能，所以需要經(jīng)過過濾代理服務器的濾波處理。如果濾波應用和數(shù)據(jù)庫是在不同的機器上，會有安全風險，因為網(wǎng)絡流量經(jīng)過從一臺機器到另一個。7.結(jié)論有許多脆弱的應用，其代碼不會被審查或修補，這是常見的問題。沒有COM-商用解決方案，以SQL注入。然而，有一些軟件包已發(fā)布，聲稱能防止SQL。審計所有的源代碼，并保護動態(tài)輸入并非微不足道。所有應用程序的用戶的權(quán)限在數(shù)據(jù)庫本身。似乎通過檢查日志文件，并依托最小特權(quán)原則不充分。被動檢測SQL注入是不是阻止它的實時有用。使用包嗅探器為SQL注入預防，但是從數(shù)據(jù)包中清除惡意的SQL查詢語句是不可能的。本文介紹了SQL和SQL注入，概述背景研究，討論防止SQL注入的方法和目前市場上已存在的相關(guān)軟件。鑒于SQL詞匯存在有限的集合，似乎有可能開發(fā)出過濾器，以防止SQL注入。2.外文原文ASurveyofSQLInjectionAttackDetectionandPrevention1.IntroductionWiththedevelopmentofWorldWideWebtheorganizationsarebeginningtogetmoresophisticatedabouthowtheyemploytheirwebsite.Nowadays,thewebhasbecomeveryessentialneedofoursociety.ButwiththewidespreadusesofInternet,somemalicioususersbegintheworkinnegativedirectionwhichharmsthewebsiteoftheorganizationsandtheseusersarereferredascybercriminalorwebsiteattacker.SQLInjectionAttacks(SQLIA)areoneofthetopthreatsforwebapplicationsecurity,andSQLinjectionsareoneofthemostseriousvulnerabilitytypes.SQLIAareeasytolearnandexploitable,sothismethodofattackiseasilyusedbyattackers.Alsomanymajorandtraditionalsecuritysystemshavingdifferentsecuritylayerslikefirewall,encryption,in-trusiondetectionsystems,Antivirusandantimalwarearenotabletodetectthistypeofattack.SQLIAtech-niqueshavebecomemorecommon,moreambitious,easytolearn/implement,andincreasinglysophisticated,sothereisaneedtofindaneffectiveandfeasiblesolutionforthisprobleminthecomputersecuritycommunity.SQLisatextualrelationaldatabaselanguage.TherearemanyvarietiesofSQL;however,thedifferencesamongthevariousdialectsareminor.SQLfunctionsfitintotwocategories:Datadefinitionlanguage(DDL):usedtocreatetablesanddefineaccessrights.Datamanipulationlanguage(DML):SQLcommandsthatallowonetoinsert,update,delete,andretrievedatawithindatabasetables.ThetypicalunitofexecutionofSQListhequery,whichisacollectionofstatementsthattypicallyreturnasingleresult.SQLinjectionisawaytoattackadatabasethroughafirewallbytakingadvantageofnon-validatedSQLvulnerabilities.ItisamethodbywhichtheparametersofaWebbasedapplicationaremodifiedinordertochangetheSQLstatementsthatarepassedtoabackenddatabase.AnattackerisabletoinsertaseriesofSQLstatementsintoaquerybymanipulatingthedatainput,forexample,byaddingasinglequote(')totheparame-ters.Itispossibletocauseasecondquerytobeexecutedwiththefirst.ProgrammersoftenchainSQLcommandstogetherwithuser-providedparameters,andcanthereforeembedSQLcommandsinsidetheseparameters.ThisisknownasdynamicSQL.ItmustbenotedthatdynamicSQLmustbeusedintheapplicationorSQLinjectionisnotpossible.SQLinjectionhasbeendescribedasa“codehole”thatisasseriousasanyIIShole.AnattackagainstadatabaseusingSQLInjectioncouldbemotivatedbythreeprimaryobjectives:Tostealdatafromadatabasefromwhichthedatashouldnotnormallybeavailable.Toobtainsystemconfigurationdatathatwouldallowanattackprofiletobebuilt.Oneexampleofthiswouldobtainallofthedatabasepasswordhashessothatpasswordscanbebrute-forced.Togainaccesstoanorganization’shostcomputersviathemachinehostingthedatabasecanbedoneusingpackageproceduresand3GLlanguageextensionsthatallowO/Saccess.BackgroundExamplesSQLIAoccurswhenanattackercausesthewebapplicationtogenerateSQLqueriesthatarefunctionallydif-ferentfromwhattheuserinterfaceprogrammerintended.Forexample,Selectid,firstname,lastnamefromauthors;Thisstatementwillretrievethe“id”,“forename”and“surname”columnsfromthe“authors”table,returningallrowsinthetable.The“resultset”couldberestrictedtoaspecific“author”using“where”clause.Selectid,firstname,lastnamefromauthorswherefirstname=“James”andlastname=“Baker”;Thisisexecutedsincethefirstnameendswithdelimiterand—isgivenattheendoftheinput,allothercommandfollowingthe—isneglected.Theoutputofthiscommandisthedeletionofthetablenamed“au-thors”,whichisnottheintendedresultfromaserverdatabase.RelatedWorkandObservationsofSQLIATherearefourmaincategoriesofSQLIAagainstdatabases:SQLManipulation:manipulationisprocessofmodifyingtheSQLstatementsbyusingvariousoperationssuchasUNION.AnotherwayforimplementingSQLInjectionusingSQLManipulationmethodisbychangingthewhereclauseoftheSQLstatementtogetdifferentresults.CodeInjection:CodeinjectionisprocessofinsertingnewSQLstatementsordatabasecommandsintothevulnerableSQLstatement.OneofthecodeinjectionattacksistoappendaSQLServerEXECUTEcommandtothevulnerableSQLstatement.ThistypeofattackisonlypossiblewhenmultipleSQLstatementsperdatabaserequestaresupported.FunctionCallInjection:FunctioncallinjectionisprocessofinsertingvariousdatabasefunctioncallsintoavulnerableSQLstatement.Thesefunctioncallscouldbemakingoperatingsystemcallsormanipulatedatainthedatabase.BufferOverflows:Bufferoverflowiscausedbyusingfunctioncallinjection.Formostofthecommercialandopensourcedatabases,patchesareavailable.Thistypeofattackispossiblewhentheserverisun-patched.ExistingProductsSQLinjectionisnotanewproblem.Thedateofitsdiscoveryisuncertain.However,inthelastfewyears,SQLIAhavebeenontherise.Applicationshavestillproventobevulnerabledespitealleffortstolimitin-formationreturnedtotheclient.Thereareafewapplicationsthathavebeendevelopedbycompaniesinanefforttoprovideasolutiontothisproblem.Somehavebeenoutlinedbelow:?SecureSphereUsesadvancedanomalydetection,eventcorrelation,andabroadsetofsignaturedictionariestoprotectwebapplicationsanddatabases.Italsouseserrorresponsesfromthesameusertoidentifyanattack.?ModSecurityIsanopensourceintrusiondetectionengineforwebapplications,whichmayprovidehelpfultipsonhowtodetectSQLinjection.IthasdevelopedModSecurityforJavawhichisaServlet2.3filterthatstandsbetweenabrowserandtheapplication,monitorsrequestsandresponsesastheyarepassingby,andinterveneswhenap-propriateinordertopreventattacks.?AirlockCombinessecurereverseproxywithintrusionprevention,contentfiltering,userauthenticationenforcement,andapplication-levelloadbalancingandfailover(Seclutions’AirlockwasawardedtheSwissTechnologyAward2003).?VIPERtoolforpenetrationtestingAccordingtoAngeloCiampa,CorradoAaronVisaggioandMassimilianoDiPenta,theyhavesuggestedatoolcalledVipertoperformpenetrationtestingofWebapplications.ThistoolreliesonaknowledgebaseofheuristicsthatguidesthegenerationoftheSQLqueries.Thistoolfirstidentifiesthehyperlinkstructureanditsinputfrom.?SQLrandPracticalProtectionmechanismS.W.BoydandA.D.KeromytishassuggestedthepracticalprotectionmechanismforpreventingSQLIAagainstwebserver.ThistoolusesSQLrandomizedqueryCGIapplicationanddetectandcorrectthequeriesin-jectedintothecode.?GreenSQLIsafreeOpenSourcedatabasefirewallthatsitsbetweenthewebserverandthedatabaseserverandisusedtoprotectdatabasesfromSQLinjectionattacks.ThelogicisbasedonevaluationofSQLcommandsusingariskscoringmatrixaswellasblockingknowndatabaseadministrativecommands(e.g.,DROP,CREATE,etc.).Re-portsaregeneratedontimestamp,querypattern,reasonblocked(e.g.,trueexpression,has“or”token).IthasawhitelistofapprovedSQLpatterns.However,onlyMySQLdatabaseiscurrentlysupported.[19]Incomparison,theIDPSinthisprojectmaybeusedwithanyrelationaldatabase,notjustMySQL.TheIDPShasbothblackandwhitelistpatternfeatures.?DotDefenderItisawebapplicationfirewallthatoffersaSQL-Injectionsolution.DotDefenderisamulti-platformsolutionrunningonApacheandIISwebservers.Centralmanagementensuresasinglepointofcontrolandreportingforallservers.Thereisanapplicationlayerfirewallinfrontofwebapplications.Ithasasetofsecurityrulesthatenableittobeapowerfulsolution.However,thecostisprohibitive.?CodeScanLabs’SQL-InjectiondetectionproductIthasthecapabilitytoscanwebapplicationsourcecodethatyouselectedforcodesyntaxvulnerabilities.Itsubsequentlygeneratesa“debugstyle”report.Thespeeddependsonhowlargethewebapplicationisanditscomplexity.TheCodeScansoftwaredoesnotfixthecode,however;itonlypointsouttheissues.Thecompanyoffersa21-dayfreetrial,butnormallyitrequiresayearlysubscriptiontobemaintained.Theactualpriceisnotadvertisedandonemustcontactsalesrepresentativetofindoutthecost.Aseparateactivationkeyisrequiredfordifferentprogramminglanguagesandadditionalcapabilities.?StaticanalysisStaticanalysisproposedanapproachthatusesastaticanalysiscandetectandpreventSQLIAincompiletime.Thistechniqueonlyfocusontautologiesbutitcannotdetectillegal,union,piggyback,storedproceduresSQLinjectionsattacks.?DynamicanalysisDynamicanalysisisdifferentfromStaticanalysis.However,StaticAnalysistodetectthequeriesincompiledtime.Sotheattackerpassesadvancedqueriestowebapplicationanditiseasilyattacked.ButDynamicanalysiscanusedtodetectandinjectionqueriespreventinruntimewithautomatically.Butthismethoddonotad-dressestheissuesofillegal,union,piggyback,storedproceduresSQLinjectionsattacks.?CombinedstaticanalysisanddynamicanalysisTheadvantageofcombinedstaticanalysisanddynamicanalysismethodistodetectSQLIA.Itismorecom-plexcomparedtoothertechniques.Itcansolvetheproblemwhichcannotbesolvedbyothermethods.AMNESIAisamodel-basedtechniquethatcombinesthestaticanddynamicanalysis.DesignConsiderationsThecurrentdatabasesreturntheresultsofastatementtotheclient.Therequestandresultsaredonebyalinkfromtheclienttothedatabasebackagain.TheprojectaimstoeliminatethepossibilityofSQLinjectionbytheuseofafilteringproxyserver,whichwillbeplacedinbetweenthetwocommunicatingdevices,namelythewebapplicationorclientandthedatabase.ThisaddedlayerofprotectionwillallowforthefilteringofpossibleSQLinjectionattemptsandprovidethedatabasewithalastmeansofdefense.Themainprojectgoalsareto:?AnalyzethestructureofSQLquerycommands.?BuildaparserthatwillcheckallowablepatternsofSQLstatements.?ConstructalistofcommonSQLinjectioncommands.CreateaproxyserverthatwillalertthedatabaseadministratorofpossibleSQLinjectioncommands.?PreventaSQLinjectionattacktoadatabaseusingthisproxyserver.?ProvethatSQLinjectioncanbepreventedusingthefilterdevelopedtoworkontheproxyserver.6.SQLSignatureFilteringTheidealsolutionistobuildafilterthatchecksforallcasesofSQLinjectionpossible.Theproblemwiththisisthatalistofallpossibleinjectionstringsisnotpossibletodefine.Thisissuggestedbyintheirpaperon“SQLInjection