[发明专利]一种SQL注入漏洞测试与验证方法及系统

权利要求书

1.一种SQL注入漏洞测试与验证方法，其特征在于，基于JavaEE的WebApp框架，该方法包括：

S1、接收SQL注入管理员发送的SQL注入扫描指令，所述SQL注入扫描指令为URL或请求信息；

S2、对指定Web应用服务器的Web应用进行SQL注入扫描；

S3、根据所述SQL注入扫描指令创建新的线程，并记录用户信息和所述SQL注入管理员的请求信息到数据库服务器中；

S4、对所述URL进行解析或根据已知的HTTP request，提取参数和注入点，根据所述SQL注入管理员的需求，选择请求模式、请求协议及对应数据库服务器；

S5、载入绕过技术配置、规则池中的静态规则和动态规则数据；

S6、对所述静态规则和动态规则数据进行预处理，并进行线程分配，由扫描管理器进行SQL注入扫描，得到扫描结果；

S7、将所述扫描结果记录，并管理和记录在扫描过程中全程扫描情况。

2.根据权利要求1所述的方法，其特征在于，还包括：

S8、根据配置好的通知方式，将所述扫描结果和所述全程扫描情况由JMS与短信服务管理器发送email或短信进行显示。

3.根据权利要求1所述的方法，其特征在于，所述步骤S3具体包括：

S31、建立所述线程的ID与宿主用户的对应关系得到对应表；

S32、当所述宿主用户发出暂停或终止命令时，根据所述对应表中记录的所述对应关系得到对应的线程，执行所述线程暂停或终止命令。

4.根据权利要求1所述的方法，其特征在于，所述步骤S4具体包括：

S41、分析预验证的所述URL，调用URL参数分析子功能模块对所述URL进行解析；

S42、提取所述URL中不带参数的URL以及URL后面跟随的所有参数列表，并提取所述URL中的cookie信息；

S43、将所述不带参数的URL、所述参数列表以及所述cookie信息存储至专用存储数据库服务器中。

5.根据权利要求2所述的方法，其特征在于，所述步骤S8具体包括：

S81、从所述数据库服务器中读取当前线程的所述扫描结果，将所述扫描结果组合汇总成SQL注入汇总报告文件；

S82、从所述汇总报告文件配置项中判断是否有汇报配置信息，如果无所述汇报配置信息，则结束所述线程；

S83、如果有所述汇报配置信息，则确定配置形式，所述配置形式为短信方式或邮件方式；

S84、若配置形式为短信方式，则以短信方式发生简要通知发送至用户界面显示；

S85、若配置形式为邮件方式，则以邮件方式发生汇总报告发送至用户界面显示。

6.一种SQL注入漏洞测试与验证系统，其特征在于，基于JavaEE的WebApp框架，该系统包括：

接收单元，用于接收SQL注入管理员发送的SQL注入扫描指令，所述SQL注入扫描指令为URL或请求信息；

扫描单元，用于对指定Web应用服务器的Web应用进行SQL注入扫描；

记录单元，用于根据所述SQL注入扫描指令创建新的线程，并记录用户信息和所述SQL注入管理员的请求信息到数据库服务器中；

解析提取单元，用于对所述URL进行解析或根据已知的HTTP request，提取参数和注入点，根据所述SQL注入管理员的需求，选择请求模式、请求协议及对应数据库服务器；

载入单元，用于载入绕过技术配置、规则池中的静态规则和动态规则数据；

预处理单元，用于对所述静态规则和动态规则数据进行预处理，并进行线程分配，由扫描管理器进行SQL注入扫描，得到扫描结果；

记录管理单元，用于将所述扫描结果记录，并管理和记录在扫描过程中全程扫描情况。

7.根据权利要求6所述的系统，其特征在于，还包括：

显示单元，用于根据配置好的通知方式，将所述扫描结果和所述全程扫描情况由JMS与短信服务管理器发送email或短信进行显示。

8.根据权利要求6所述的系统，其特征在于，所述记录单元包括：

建立关系表单元，用于建立所述线程的ID与宿主用户的对应关系得到对应表；

执行单元，用于当所述宿主用户发出暂停或终止命令时，根据所述对应表中记录的所述对应关系得到对应的线程，执行所述线程暂停或终止命令。