【技术实现步骤摘要】
本专利技术涉及无线网络技术,尤其涉及一种数据库类型的识别方法和装置。
技术介绍
随着互联网技术的快速发展,浏览器/服务器(B/S)模式已经得到了广泛的应用。在B/S模式中会频繁出现用户与后台服务器之间进行交互的过程。具体为,用户在客户端的网页上通过表单输入并提交用户输入数据,服务端的应用根据用户提交的用户输入数据构造结构化查询语言(Structured Query Language,简称sql),提交到服务器进行处理,服务器返回处理结果。在开发B/S模式的应用程序时,由于开发人员的水平层次不齐,忽略了对用户输 入数据的合法性判断,使应用程序存在安全隐患。有些攻击者是通过sql注入的方式对服务器进行恶意攻击。所述的sql注入就是通过将sql命令插入到web表单或输入域名中提交给服务器,以达到欺骗服务器执行恶意sql命令的目的。具体地,攻击者提交一段数据库查询代码,根据服务器返回的结果,窃取机密数据、安装木马、甚至完全控制整个系统。因此就风险而言,对于web系统,sql注入已经位居各大web漏洞的首列。因而,sql注入漏洞的检测在web安全中具有非常重要的意义,也受到了业界...
【技术保护点】
一种数据库类型的识别方法,其特征在于,包括:识别待进行sql注入漏洞检测的web系统的开发语言,根据语言?类型概率表获取与所述开发语言对应的、概率由大到小的数据库类型排序信息;所述语言?类型概率表包括多种开发语言、多种数据库类型以及各种数据库类型应用各种开发语言进行开发的概率;按照所述排序信息的顺序,应用与待识别数据库类型对应的第一标识进行所述web系统数据库类型的识别;其中,所述识别的过程包括:在用户输入数据后面添加所述第一标识,分别获取仅提交所述用户输入数据而返回的第一页面信息,以及提交添加有所述第一标识的用户输入数据而返回的第二页面信息,根据所述第一页面信息与所述第二...
【技术特征摘要】
1.一种数据库类型的识别方法,其特征在于,包括识别待进行Sql注入漏洞检测的web系统的开发语言,根据语言-类型概率表获取与所述开发语言对应的、概率由大到小的数据库类型排序信息;所述语言-类型概率表包括多种开发语言、多种数据库类型以及各种数据库类型应用各种开发语言进行开发的概率;按照所述排序信息的顺序,应用与待识别数据库类型对应的第一标识进行所述web系统数据库类型的识别;其中,所述识别的过程包括 在用户输入数据后面添加所述第一标识,分别获取仅提交所述用户输入数据而返回的第一页面信息,以及提交添加有所述第一标识的用户输入数据而返回的第二页面信息,根据所述第一页面信息与所述第二页面信息是否相同,判断所述web系统的数据库类型是否为所述待识别数据库类型。2.根据权利要求I所述的方法,其特征在于,所述第一标识为内置函数或变量或表达式。3.根据权利要求I或2所述的方法,其特征在于,所述根据所述第一页面信息与所述第二页面信息是否相同,判断所述web系统的数据库类型是否为所述待识别数据库类型包括 在获知所述第一页面信息与所述第二页面信息相同之后,继续在所述用户输入数据后面添加与所述待识别数据库类型对应的第二标识,获取提交添加有所述第二标识的用户输入数据而返回的第三页面信息,若所述第一页面信息与所述第三页面信息相同,则识别出所述web系统的数据库类型为所述待识别数据库类型。4.根据权利要求3所述的方法,其特征在于,所述第二标识为内置函数或变量或表达式。5.根据权利要求I所述的方法,其特征在于,所述方法还包括 获取各种数据库类型应用各种开发语言进行开发的概率,生成所述语言-类型概率表。6.一种...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。