【技术实现步骤摘要】
SQL注入检测方法、装置、设备及计算机存储介质
本专利技术涉及金融科技(Fintech)
,尤其涉及SQL注入检测方法、装置、设备及计算机存储介质。
技术介绍
随着计算机技术的发展,越来越多的技术(大数据、分布式、区块链Blockchain、人工智能等)应用在金融领域,传统金融业正在逐步向金融科技(Fintech)转变,但由于金融行业的安全性、实时性要求,也对SQL(StructuredQueryLanguage,结构化查询语言)注入检测技术提出了更高的要求。目前是通过修改http(超文本传输协议)参数的值,如在参数中添加某些能让数据库出错的语句,或者是将参数替换为某些能让数据库条件语句恒为真的语句,然后在检测返回的数据包中是否存在SQL注入的,但是这种方法对部署了WAF(WebApplicationFirewall,网站应用级入侵防御系统)的战点无法进行有效的检测,漏报率高。并且也只能针对返回的http相应包进行字符串匹配,误报率高,使得SQL注入检测的准确率低。因此如何提高SQL注入检测的准确性成为了目前亟待解决的...
【技术保护点】
1.一种SQL注入检测方法,其特征在于,所述SQL注入检测方法包括如下步骤:/n将预设的非正常请求发送至待测试网站,以获取所述待测试网站反馈的响应页面,并基于所述响应页面确定所述待测试网站中是否存在WAF(网站应用级入侵防御系统);/n若不存在WAF,则检测所述待测试网站的网络是否稳定;/n若稳定,则对所述非正常请求对应的正常请求进行过滤处理,检测经过过滤处理的所述正常请求中是否存在动态参数;/n若存在动态参数,则根据所述动态参数对所述待测试网站进行SQL注入检测。/n
【技术特征摘要】
1.一种SQL注入检测方法,其特征在于,所述SQL注入检测方法包括如下步骤:
将预设的非正常请求发送至待测试网站,以获取所述待测试网站反馈的响应页面,并基于所述响应页面确定所述待测试网站中是否存在WAF(网站应用级入侵防御系统);
若不存在WAF,则检测所述待测试网站的网络是否稳定;
若稳定,则对所述非正常请求对应的正常请求进行过滤处理,检测经过过滤处理的所述正常请求中是否存在动态参数;
若存在动态参数,则根据所述动态参数对所述待测试网站进行SQL注入检测。
2.如权利要求1所述的SQL注入检测方法,其特征在于,所述根据所述动态参数对所述待测试网站进行SQL注入检测的步骤,包括:
将所述动态参数发送至所述待测试网站,以获取所述待测试网站反馈的标准返回值;
对所述动态参数进行修改,并将修改后的动态参数发送至所述待测试网站,以获取所述待测试网站反馈的修改返回值,并检测所述标准返回值和所述修改返回值之间的相似度是否小于预设值;
若所述相似度小于预设值,则确定所述待测试网站存在SQL注入。
3.如权利要求2所述的SQL注入检测方法,其特征在于,所述检测所述标准返回值和所述修改返回值之间的相似度是否小于预设值的步骤包括:
检测所述待测试网站反馈修改返回值的延迟时间是否大于预设延迟时间;
若所述延迟时间大于预设延迟时间,则确定所述待测试网站存在SQL注入;
若所述延迟时间小于或等于预设延迟时间,则检测所述标准返回值和所述修改返回值之间的相似度是否小于预设值。
4.如权利要求1所述的SQL注入检测方法,其特征在于,所述基于所述响应页面确定所述待测试网站中是否存在WAF的步骤,包括:
检测所述响应页面对应的响应时间是否大于预设响应时间;
若所述响应时间小于或等于预设响应时间,则确定所述非正常请求对应的正常请求,并获取所述待测试网站基于所述正常请求反馈的原始页面,检测所述响应页面是否和所述原始页面匹配;
若所述响应页面和所述原始页面不匹配,则确定所述待测试网站中不存在WAF。
5.如权利要求4所述的SQL注入检测方法,其特征在于,所述检测所述响应页面对应的响应时间是否大于预设响应时间的步骤之后,包括:
若所述响应时间大于所述预设响应时间,则确定所述待测试网站存在WAF,并根据预设的绕过处理方式对所述WAF进行绕过处理,在所述绕过处理完成后,对所述待测试网站进行SQL注入检测处理。
6.如权利要求1所述的SQL注入检测方法,其特征在于,所述对所述非正常请求对应的正...
【专利技术属性】
技术研发人员:刘宇滨,
申请(专利权)人:深圳前海微众银行股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。