The invention discloses an SQL injection vulnerability detection method, device, device and readable storage medium. The method includes steps: after obtaining a unified resource locator URL request of the website to be tested, the detection point of the URL request is determined, and the sequential request of the detection point corresponding to Boolean logic parameters is constructed; the sound obtained after executing the URL request and the sequential request is obtained. In response to the page, the similarity analysis of the response page is carried out, and the similarity value between the response page corresponding to the URL request and the response page corresponding to each request in the sequence request is obtained. If the similarity value satisfies the preset conditions, it is determined that the URL request has a SQL injection vulnerability. By judging whether there is a SQL injection vulnerability in the URL request according to the similarity between response pages, the invention improves the accuracy of detecting the SQL injection vulnerability.
【技术实现步骤摘要】
SQL注入漏洞检测方法、装置、设备及可读存储介质
本专利技术涉及通信
,尤其涉及一种SQL注入漏洞检测方法、装置、设备及可读存储介质。
技术介绍
目前对SQL(StructuredQueryLanguage,结构化查询语言)注入漏洞的检测方法通过是基于布尔判断的检测方法。目前基于布尔判断的SQL注入漏洞检测方法,在检测序列请求方面,通常是原始URL请求一次,再构造一次逻辑真的SQL语句参数值,一次逻辑假的SQL语句参数值的请求,共3次请求。在对比判断多次请求的网站响应页面时,通常是根据网站响应的报文长度(Content-Length)来判断是否存在SQL注入漏洞。但是由于网络波动,服务器负载状态变化等不稳定性因素,以及Web2.0时代下的动态网页的出现,导致通过布尔判断来检测URL请求是否存在SQL注入漏洞的准确率低下。
技术实现思路
本专利技术的主要目的在于提供一种SQL注入漏洞检测方法、装置、设备及可读存储介质,旨在解决现有的检测SQL注入漏洞的准确率低下的技术问题。为实现上述目的,本专利技术提供一种SQL注入漏洞检测方法,所述SQL注入漏洞检测方法包括步骤:当获取到待测试网站的统一资源定位符URL请求后,确定所述URL请求的检测点,并构造所述检测点对应布尔逻辑参数的序列请求;获取执行所述URL请求和所述序列请求后得到的响应页面,对所述响应页面进行相似度分析,得到所述URL请求对应响应页面与所述序列请求中每一请求对应响应页面之间的相似度值;若所述相似度值满足预设条件,则确定所述URL请求存在SQL注入漏洞。优选地,所述构造所述检测点对应布尔逻辑参数的 ...
【技术保护点】
1.一种结构化查询语言SQL注入漏洞检测方法,其特征在于,所述SQL注入漏洞检测方法包括以下步骤:当获取到待测试网站的统一资源定位符URL请求后,确定所述URL请求的检测点,并构造所述检测点对应布尔逻辑参数的序列请求;获取执行所述URL请求和所述序列请求后得到的响应页面,对所述响应页面进行相似度分析,得到所述URL请求对应响应页面与所述序列请求中每一请求对应响应页面之间的相似度值;若所述相似度值满足预设条件,则确定所述URL请求存在SQL注入漏洞。
【技术特征摘要】
1.一种结构化查询语言SQL注入漏洞检测方法,其特征在于,所述SQL注入漏洞检测方法包括以下步骤:当获取到待测试网站的统一资源定位符URL请求后,确定所述URL请求的检测点,并构造所述检测点对应布尔逻辑参数的序列请求;获取执行所述URL请求和所述序列请求后得到的响应页面,对所述响应页面进行相似度分析,得到所述URL请求对应响应页面与所述序列请求中每一请求对应响应页面之间的相似度值;若所述相似度值满足预设条件,则确定所述URL请求存在SQL注入漏洞。2.如权利要求1所述的SQL注入漏洞检测方法,其特征在于,所述构造所述检测点对应布尔逻辑参数的序列请求的步骤包括:为所述URL请求中的每一检测点构造一个逻辑真条件的请求,记为第一真请求;为所述URL请求中的每一检测点构造一个逻辑假条件的请求,记为第一假请求,以形成包括所述第一真请求和第一假请求的序列请求。3.如权利要求2所述的SQL注入漏洞检测方法,其特征在于,所述为所述URL请求中的每一检测点构造一个逻辑假条件的请求,记为第一假请求,以形成包括所述第一真请求和第一假请求的序列请求的步骤包括:为所述URL请求中的每一检测点构造一个逻辑假条件的请求,记为第一假请求,并为所述第一真请求构造逻辑真条件的确认请求,记为第二真请求;为所述第一假请求构造逻辑假条件的确认请求,记为第二假请求,以形成包括所述第一真请求、第一假请求、第二真请求和第二假请求的序列请求。4.如权利要求2所述的SQL注入漏洞检测方法,其特征在于,所述若所述相似度值满足预设条件,则确定所述URL请求存在SQL注入漏洞的步骤包括:若确定所述URL请求对应的第一响应页面与所述第一真请求对应的第二响应页面之间的第一杰卡德系数大于第一阈值,则判断所述第一响应页面与所述第一假请求对应的第三响应页面之间的第二杰卡德系数是否小于第二阈值;若所述第二杰卡德系数小于所述第二阈值,则确定所述URL请求存在SQL注入漏洞。5.如权利要求3所述的SQL注入漏洞检测方法,其特征在于,所述若所述相似度值满足预设条件,则确定所述URL请求存在SQL注入漏洞的步骤包括:若确定所述URL请求对应的第一响应页面与所述第一真请求对应的第二响应页面之间的第一杰卡德系数大于第一阈值,则判断所述第一响应页面与所述第一假请求对应的第三响应页面之间的第二杰卡德系数是否小于第二阈值;若所述第二杰卡德系数小于所述第二阈值,则确定所述第一响应页面与所述第二真请求对应的第四响应页面之间的第三杰卡德系数,并计算所述第三杰卡德系数与所述第一杰卡德系数之间的第一差值;若所述第一差值小于第三阈值,则确定所述...
【专利技术属性】
技术研发人员:何双宁,
申请(专利权)人:平安科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。