一种SQL注入漏洞检测方法及系统技术方案

本发明专利技术公开了一种作为网络安全的重要产品之一的主机脆弱性扫描系统的关键技术－－ＳＱＬ注入漏洞检测技术。特征是向服务器提交正常的访问请求数据和不同类型的ＳＱＬ注入数据，接收服务器的返回结果，然后交叉比较不同请求的返回结果，并根据比较结果判断服务器对提交数据的处理是否存在ＳＱＬ注入漏洞。可以通过网页爬虫方式、浏览器插件方式和手工输入方式定义待验证的网页地址。可以从四种不同类型的攻击模板中选择一个或多个模板，检测待验证网页上是否存在ＳＱＬ注入漏洞。可以在服务器屏蔽错误信息的情况下，通过交叉比较正常访问请求和ＳＱＬ注入语句的返回结果，判断服务器对用户提交数据的处理是否存在ＳＱＬ注入漏洞。

【技术实现步骤摘要】

【技术保护点】
一种ＳＱＬ注入漏洞检测方法，包括：待验证网页定义单元、ＳＱＬ注入攻击模板选择单元、交叉验证单元，其特征在于所述的步骤：①待验证网页定义单元设置待验证网页；②判断是否所有网页都处理完毕，是则结束，否则转步骤③；③提取一个尚未处理网页；④在ＳＱＬ注入攻击模板选择单元中选择攻击模板；⑤依据该网页的攻击模板，构造ＳＱＬ注入攻击语句，并提交到服务器；⑥在交叉比较单元中对服务器返回的结果集进行交叉验证，然后转步骤②。

【技术特征摘要】

【专利技术属性】
技术研发人员：周涛，叶润国，骆拥政，
申请(专利权)人：北京启明星辰信息技术有限公司，
类型：发明
国别省市：11[中国|北京]