高技术通讯
高技術通訊
고기술통신
HIGH TECHNOLOGY LETTERS
2012年
11期
1161-1168
,共8页
田伟%许静%杨巨峰%张莹%刘磊
田偉%許靜%楊巨峰%張瑩%劉磊
전위%허정%양거봉%장형%류뢰
Web%渗透测试%结构化查询语言(SQL)注入%攻击建模%安全漏洞%用例
Web%滲透測試%結構化查詢語言(SQL)註入%攻擊建模%安全漏洞%用例
Web%삼투측시%결구화사순어언(SQL)주입%공격건모%안전루동%용례
针对结构化查询语言(SQL)注入渗透测试用例不充分造成测试漏报的问题,对基于形式化建模生成渗透测试用例问题进行了研究,提出了以下方法:将SQL注入漏洞渗透测试用例生成分为两步:第1步建立渗透测试用例的形式化模型,以用例模型更全面、有规律地描述当前各种SQL注入攻击的方法模式,指导生成更多种类的用例输入;第2步提出若干新的SQL注入漏洞渗透测试用例覆盖度准则,将用例模型实例化、生成覆盖更多样式的用例输入.实验表明,用上述方法生成的用例,优于当前其它研究中使用的随机枚举用例,可更有效地测出隐藏于Web应用不足防御措施之后的SQL注入漏洞,从而降低渗透测试结果的漏报.
針對結構化查詢語言(SQL)註入滲透測試用例不充分造成測試漏報的問題,對基于形式化建模生成滲透測試用例問題進行瞭研究,提齣瞭以下方法:將SQL註入漏洞滲透測試用例生成分為兩步:第1步建立滲透測試用例的形式化模型,以用例模型更全麵、有規律地描述噹前各種SQL註入攻擊的方法模式,指導生成更多種類的用例輸入;第2步提齣若榦新的SQL註入漏洞滲透測試用例覆蓋度準則,將用例模型實例化、生成覆蓋更多樣式的用例輸入.實驗錶明,用上述方法生成的用例,優于噹前其它研究中使用的隨機枚舉用例,可更有效地測齣隱藏于Web應用不足防禦措施之後的SQL註入漏洞,從而降低滲透測試結果的漏報.
침대결구화사순어언(SQL)주입삼투측시용례불충분조성측시루보적문제,대기우형식화건모생성삼투측시용례문제진행료연구,제출료이하방법:장SQL주입루동삼투측시용례생성분위량보:제1보건립삼투측시용례적형식화모형,이용례모형경전면、유규률지묘술당전각충SQL주입공격적방법모식,지도생성경다충류적용례수입;제2보제출약간신적SQL주입루동삼투측시용례복개도준칙,장용례모형실례화、생성복개경다양식적용례수입.실험표명,용상술방법생성적용례,우우당전기타연구중사용적수궤매거용례,가경유효지측출은장우Web응용불족방어조시지후적SQL주입루동,종이강저삼투측시결과적루보.
