-
公开(公告)号:CN109347805A
公开(公告)日:2019-02-15
申请号:CN201811096610.0
申请日:2018-09-19
Applicant: 杭州安恒信息技术股份有限公司
IPC: H04L29/06 , H04L29/12 , H04L29/08 , G06F16/9032
Abstract: 本发明涉及一种基于DNS的无回显SQL注入检测方法,SQL注入扫描器向目标网站发送带有检测载荷的HTTP请求,执行后发起针对权威DNS服务器的DNS请求,权威DNS服务器解析后返回响应至目标网站,并将解析结果记录在日志中,当SQL注入扫描器通过HTTP请求向权威DNS服务器发起解析记录查询请求时,查询日志,根据是否存在解析记录得到网站是否存在SQL注入漏洞的检测结果。本发明使用特殊编码格式的DNS解析记录来检测无回显SQL注入,可以实现准确快速的检测漏洞,减少检测时间,提高扫描器检测效率,防止漏报和误报。
-
公开(公告)号:CN109347805B
公开(公告)日:2021-06-15
申请号:CN201811096610.0
申请日:2018-09-19
Applicant: 杭州安恒信息技术股份有限公司
IPC: H04L29/06 , H04L29/12 , H04L29/08 , G06F16/9032
Abstract: 本发明涉及一种基于DNS的无回显SQL注入检测方法,SQL注入扫描器向目标网站发送带有检测载荷的HTTP请求,执行后发起针对权威DNS服务器的DNS请求,权威DNS服务器解析后返回响应至目标网站,并将解析结果记录在日志中,当SQL注入扫描器通过HTTP请求向权威DNS服务器发起解析记录查询请求时,查询日志,根据是否存在解析记录得到网站是否存在SQL注入漏洞的检测结果。本发明使用特殊编码格式的DNS解析记录来检测无回显SQL注入,可以实现准确快速的检测漏洞,减少检测时间,提高扫描器检测效率,防止漏报和误报。
-
公开(公告)号:CN107463842B
公开(公告)日:2020-04-07
申请号:CN201710732238.7
申请日:2017-08-23
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本发明提供了一种基于数据库协议的SQL注入审计或防护方法及装置,涉及信息安全技术领域,该方法包括获取数据库服务器根据预设数据库协议发送的数据包,其中,数据包为响应客户端请求信息的数据包;根据预设数据库协议的数据格式对数据包进行分析,以确定数据库服务器对请求信息的响应结果;基于响应结果,确定SQL注入导致的对数据库服务器进行访问的危险访问接口,以便对访问危险访问接口的访问请求进行阻止。本发明缓解了传统的SQL注入的审计和防护方法中存在的误报率较高的技术问题。
-
-
Search Results
3
records
(took 0.024 seconds)
