[发明专利]一种基于细粒度权限控制的SQL注入检测系统及其方法

摘要

本发明公开了一种基于细粒度权限控制的SQL注入检测系统及其方法，涉及信息安全技术领域。本系统是：接收模块分别与业务代码表和权限提取模块交互，实现对用户提交的SQL语句的接收和业务代码的提取；权限提取模块分别与接收模块和权限检测模块交互，实现对权限访问信息的提取；权限检测模块分别与权限提取模块、权限控制表和告警模块交互，实现对SQL注入越权操作的检测；告警模块分别与权限检测模块和业务代码表进行交互，实现对SQL注入事件的日志、告警和SQL注入的拦截。本发明具有下列优点和积极效果：①准确性：可以准确地发现SQL注入攻击，防止用户数据泄露；②可扩展性；③适应性广：可应用于Web服务器、中间件、数据库代理服务器和数据库服务器上。

主权项

1.一种基于细粒度权限控制的SQL注入检测方法，包括下述步骤：/n①对于Web应用中涉及SQL语句执行的每个URL，为URL对应的每个SQL语句分配业务代码，生成业务代码表；/n②对每个业务代码，分析其对应的SQL语句，生成对应的权限控制表；/n③对于用户提交的SQL语句，提取权限信息，查询权限控制表，进行权限检测，如果存在越权访问，则确认存在SQL注入漏洞；/n其特征在于：/n所述的步骤①：/nA、对于Web应用中涉及SQL语句执行的每个URL，为URL对应的每个SQL语句分配业务代码，生成业务代码表；/nB、所述业务代码是Web应用中SQL语句的标识，其分配具有唯一性；在Web应用的所有URL对应的所有SQL语句中，单个业务代码对应着有且只有一条SQL语句；/nC、所述业务代码表，是一种数据存储结构；包括业务代码、URL、SQL语句模板和业务代码识别标识；/nD、所述的业务代码识别标识，是一个或多个关键词，可以从用户提交的URL和HTTP消息中提取，通过这些关键词可以关联到对应的业务代码和SQL语句；/n所述的步骤③：/nⅠ、对于用户提交的SQL语句，提取权限信息，查询权限控制表，进行权限检测，如果存在越权访问，则确认存在SQL注入漏洞；/nⅡ、权限访问信息包括以下信息：业务代码和操作的数据库名称集合；对于操作的数据库名称集合中的每一个数据库，权限访问信息包括以下信息：操作的表名称集合和操作的函数列表；对于操作的表名称集合中的每一个数据库表，权限访问信息包括以下信息：操作的字段名称列表和操作列表；/nⅢ、提取权限访问信息，可以通过语法分析实现；对SQL语句进行词法分析和语法分析，获取SQL语句对应的权限访问信息；/nⅣ、权限检测，可以通过数据库实现；根据权限控制表，在数据库中为每个业务代码预先分配一个数据库用户和相应的权限；用户提交SQL语句后，以业务代码对应的预分配数据库用户的身份执行SQL语句；由于预分配数据库用户的权限已被限制，如果存在越权访问，则操作会被数据库检测到。/n