-
公开(公告)号:CN103530564A
公开(公告)日:2014-01-22
申请号:CN201310439957.1
申请日:2013-09-24
申请人: 国家电网公司 , 国网浙江省电力公司电力科学研究院 , 国网浙江省电力公司信息通信分公司 , 杭州辰青和业科技有限公司
CPC分类号: G06F21/577 , G06F11/3604 , G06F2221/034
摘要: 本发明公开了一种SQL注入漏洞测试与验证方法及系统,基于JavaEE的WebApp框架,该方法通过用户输入URL,系统对URL进行解析或根据已知的HTTP request,自动从中提取参数和注入点,然后用户根据自身需要,选择注入点或自定义注入点加入请求中,并选择请求模式、请求协议和数据库服务器,系统从数据库中载入绕过技术配置、规则池中静态规则和动态规则数据,经过预处理后,由多线程管理器分配线程,交由扫描管理器进行SQL注入扫描,实现在保证自动化程度的前提下,降低漏报率。另外,本发明基于实际交互的HTTP报文,可自动识别报文中所有可能存在的注入点,也可自定义注入点,实现半自动化漏洞检测,可实现检测任何区域的SQL注入漏洞,进一步的降低漏报率。
-
公开(公告)号:CN103530564B
公开(公告)日:2016-04-13
申请号:CN201310439957.1
申请日:2013-09-24
申请人: 国家电网公司 , 国网浙江省电力公司电力科学研究院 , 国网浙江省电力公司信息通信分公司 , 杭州辰青和业科技有限公司
摘要: 本发明公开了一种SQL注入漏洞测试与验证方法及系统,基于JavaEE的WebApp框架,该方法通过用户输入URL,系统对URL进行解析或根据已知的HTTP request,自动从中提取参数和注入点,然后用户根据自身需要,选择注入点或自定义注入点加入请求中,并选择请求模式、请求协议和数据库服务器,系统从数据库中载入绕过技术配置、规则池中静态规则和动态规则数据,经过预处理后,由多线程管理器分配线程,交由扫描管理器进行SQL注入扫描,实现在保证自动化程度的前提下,降低漏报率。另外,本发明基于实际交互的HTTP报文,可自动识别报文中所有可能存在的注入点,也可自定义注入点,实现半自动化漏洞检测,可实现检测任何区域的SQL注入漏洞,进一步的降低漏报率。
-