收藏本站
《吉林大学》 2011年
收藏 | 手机打开
二维码
手机客户端打开本文

针对Oracle数据库的SQL注入攻击的研究

白蓥  
【摘要】:Oracle数据库是当今世界应用最广泛的数据库之一,凭借其强大的功能和卓越的性能在数据库市场上占据了很大的份额。正是由于Oracle数据库在IT市场中举足轻重的地位,对其安全问题的研究就显得尤为重要。 SQL注入攻击一般就是攻击者在正常的Web页面中把自己的SQL代码通过用户输入传入到相应的应用程序中,从而执行一些非用户预期的SQL代码,以达到修改、窃取或者破坏数据库信息等目的。SQL注入攻击甚至可以使攻击者绕过用户认证机制,使其可以完全的操控远程服务器上的数据库。如果开发人员不够细心,用户输入的数据就有可能会被解释成数据库命令,这样的话,远程用户就可以在输入用户数据的过程中在数据库上执行命令以达到其目的了,这就形成了SQL注入攻击。特别是当应用程序将使用一些用户输入的数据来构造动态的SQL语句来访问数据库的时候,就更容易遭受到SQL注入攻击。同样的如果开发人员在代码中使用了存储过程,并且这些存储过程是作为包含了没有限定的用户输入来传输的话也很容易发生SQL注入。SQL注入成功以后可能会使攻击者可以使用应用程序登陆并在数据库中执行各种各样的命令,一旦攻击者取得了很高的特权账户的使用权那么问题将会变得更加严重,它代表了一类极其严重的安全威胁。Oracle数据库中出现的SQL注入漏洞,给计算机网络带来了严重的危害,因此对Oracle数据库中的SQL注入攻击的原理的深入研究,并总结出如何有效的防御这类攻击成为了人们关注的焦点。 本文首先利用Oracle数据库里的PL/SQL Developer使用DBA权限用户SYS定义了一个存在SQL注入漏洞的过程SYS.SQLTARGET;然后分析其原本的功能,将其使用权限赋予低级权限用户SCOTT,并利用低权限用户SCOTT针对这个过程定义了攻击函数SCOTT.SQLI_CHANGEPASSWORD和SCOTT.SQLI_RESTOREPASSWORD,并在函数内部定义了修改和恢复DBA权限用户SYS密码的SQL语句,最后执行攻击函数使修改和恢复密码操作成功并进行验证。通过这个完整的攻击过程来深入了解Oracle数据库中SQL注入攻击的原理及步骤,总结出了在Oracle数据库中具体哪些方面来防御SQL注入攻击。 在对目标过程SYS.SQLTARGET的SQL注入攻击过程中,为了防止出现ORA-14551:无法在查询中执行DML操作这种错误,本文通过使用PRAGMA AUTONOMOUS_TRANSACTION语句来定义攻击函数,将其定义成为一个自治事务,同时使用AUTHID CURRENT_USER语句来定义攻击函数使调用者均可以以创建者的权限来调用这个攻击函数;这样就可以在执行完攻击函数以后完成对目标过程的一次成功的SQL注入攻击。
【学位授予单位】:吉林大学
【学位级别】:硕士
【学位授予年份】:2011
【分类号】:TP311.13

手机知网App
【引证文献】
中国硕士学位论文全文数据库 前2条
1 周伦波;民航气象数据库应用系统的设计与实现[D];电子科技大学;2011年
2 张小虎;针对Oracle数据库提权漏洞的游标类注入提权技术及防御方法的研究[D];西北大学;2012年
【共引文献】
中国期刊全文数据库 前10条
1 张海霞;王志双;范亚斌;;校园网数据安全分析[J];才智;2009年03期
2 李明革;杨亚洲;姜占华;钟玉珍;;园区网络故障分析及解决措施[J];吉林大学学报(信息科学版);2008年04期
3 贾云飞;邹茂扬;;基于缓冲区溢出的蠕虫病毒的研究与实现[J];成都信息工程学院学报;2007年S1期
4 刘坤;;结合逆向工程和fuzz技术的Windows软件漏洞挖掘模型研究[J];成都信息工程学院学报;2008年02期
5 唐晶;;漏洞溢出攻击原理与防护[J];赤峰学院学报(自然科学版);2009年08期
6 张之刚;周宁;牛霜霞;莫坚松;刘浩;;远程缓冲区溢出攻击及防护[J];重庆理工大学学报(自然科学版);2010年11期
7 洪涛;;试析网络安全技术在企业中的应用[J];产业与科技论坛;2011年02期
8 王达光;甘井中;;构建校园网安全体系的研究和实践[J];电化教育研究;2008年01期
9 池瑞楠;;Windows缓冲区溢出的深入研究[J];电脑编程技巧与维护;2006年09期
10 张爱华;;计算机网络信息遭遇的安全威胁及对策[J];电脑编程技巧与维护;2012年10期
中国重要会议论文全文数据库 前2条
1 张亚慧;;网络安全技术浅析[A];海南省通信学会学术年会论文集(2005)[C];2005年
2 张晓明;李津华;;简论安全使用网络[A];第二十五届中国(天津)2011’IT、网络、信息技术、电子、仪器仪表创新学术会议论文集[C];2011年
中国博士学位论文全文数据库 前3条
1 胡勇;网络信息系统风险评估方法研究[D];四川大学;2007年
2 蒿敬波;对等结构的恶意蠕虫网络研究[D];国防科学技术大学;2008年
3 王兰佳;基于网络的0-day多态蠕虫检测算法研究[D];清华大学;2009年
中国硕士学位论文全文数据库 前10条
1 徐磊;针对Oracle数据库缓冲区溢出攻击的研究[D];吉林大学;2011年
2 罗俊华;广州市天河区河涌水体污染特征分析与污染治理模式探讨[D];暨南大学;2011年
3 李晓南;基于数据综合分析的软件安全漏洞静态检测平台设计与实现[D];电子科技大学;2011年
4 夏巨鹏;基于信息流模型的单机文档安全技术研究[D];哈尔滨工业大学;2010年
5 王海洋;基于人眼灰度敏感特性的信息隐藏技术研究[D];中南林业科技大学;2011年
6 毛丹;椭圆曲线点压缩技术及系统安全测评研究[D];广州大学;2011年
7 周德健;浙江省医疗器械不良事件在线报告系统开发[D];浙江工业大学;2011年
8 李天龙;阳光财产保险公司网上培训系统设计与实现[D];山东大学;2011年
9 凌云;基于ISAPI的网站注入攻击防范模型及应用[D];复旦大学;2011年
10 王丰辉;漏洞相关技术研究[D];北京邮电大学;2006年
【同被引文献】
中国期刊全文数据库 前10条
1 耿新青,迟呈英;ORACLE与SQL SERVER语言的比较[J];鞍山钢铁学院学报;2002年01期
2 夏启寿;张小东;;基于角色的访问控制的研究[J];池州师专学报;2007年03期
3 赵清源;;基于Oracle数据库下服务器安全问题的探讨[J];电脑知识与技术;2008年06期
4 胡家美,朱娜;民航气象数据库系统简介[J];广东气象;1999年04期
5 白延敏;韩一鸣;马维华;;基于IBM服务器的硬RAID和纯软双机热备系统研究[J];装备制造技术;2007年04期
6 罗剑琴;孙士型;陈少平;田刚;龙利民;于大锋;;长江上游流域数值预报产品评价分析[J];暴雨灾害;2007年03期
7 刘永波;数据的文件系统管理与数据库系统管理[J];信息技术;2001年12期
8 陈毅华;;Oracle9i数据库应用程序开发方法[J];湖南有色金属;2007年03期
9 周晓红,张鑫晶;吉林省气象网络实时业务系统的更新[J];吉林气象;1996年01期
10 余性厚,朱亚萍;IDMS——一个网状型数据库管理系统简介[J];计算机工程;1985年05期
中国重要会议论文全文数据库 前3条
1 周成勤;刘春元;;IDMS数据库安全方法[A];第八次全国计算机安全学术交流会论文集[C];1993年
2 高华云;;数据库在国家气象中心实时业务中的应用[A];数据库技术在气象领域的应用学术会议论文集[C];2001年
3 王海军;刘敏;张峻;向华;;DBMS在气象资料管理中的应用及其实践[A];数据库技术在气象领域的应用学术会议论文集[C];2001年
中国硕士学位论文全文数据库 前4条
1 张志东;民航气象信息管理数据库维护系统设计实现[D];电子科技大学;2010年
2 鲍诚毅;针对Oracle数据库的攻防技术研究[D];上海交通大学;2011年
3 赵力涵;Oracle数据库解密技术及权限提升漏洞的挖掘研究[D];上海交通大学;2012年
4 徐海;基于Oracle 9i的民航气象数据管理系统设计与实现[D];四川大学;2005年
【相似文献】
中国期刊全文数据库 前10条
1 刘方健,江佳惠;数据库产品的个性化服务[J];四川图书馆学报;2005年02期
2 ;由竞争到联合——Sybase与Informix有意携手[J];每周电脑报;1998年11期
3 汨源,刘剑虹;编写JDBC代码访问数据库[J];教育信息化;2001年11期
4 张岩;张志彬;;Oracle数据库性能调整误区[J];医疗卫生装备;2006年05期
5 杨洪和;;低价之路走不得[J];中国计算机用户;2007年13期
6 曹洪波;陈扬;;基于BS应用的数据迁移研究与实现[J];茂名学院学报;2009年06期
7 ;Sybas推出Adaptive Server Enterprise 11.5[J];中国金融电脑;1997年11期
8 ;数据库对象技术比高低[J];每周电脑报;1997年04期
9 ;移动计算是未来数据库产品发展的主流技术[J];电脑技术;1998年06期
10 魏巨学;;浅谈图书馆地方文献特色数据库建设[J];中国水运(理论版);2006年08期
中国重要会议论文全文数据库 前10条
1 张建伟;孙占锋;宁海琴;;数据库远程访问接口技术研究[A];第十七届全国数据库学术会议论文集(技术报告篇)[C];2000年
2 曹红松;杨臻;;在轻武器动态优化、仿真系统中数据库的设计与应用[A];信息科学与微电子技术:中国科协第三届青年学术年会论文集[C];1998年
3 杨继国;杨冬青;唐世渭;;数据库与超文本系统的连接[A];数据库研究进展97——第十四届全国数据库学术会议论文集(上)[C];1997年
4 林巍;;数据库的商品化[A];第十一届全国数据库学术会议论文集[C];1993年
5 满正行;李应兴;单广荣;于洪志;;网络应用中实现藏文支持的一种方案[A];民族语言文字信息技术研究——第十一届全国民族语言文字信息学术研讨会论文集[C];2007年
6 王旌;游苏宁;王云亭;蔡丽枫;;强强联合,探索百年期刊数字化发展道路[A];2008年第四届中国科技期刊发展论坛论文集[C];2008年
7 汪胜利;;企业内部ORACLE数据库监控系统技术体系[A];2011年安徽省智能电网技术论坛论文集[C];2011年
8 徐建刚;;交易中心信息平台的数据库建设[A];责任与使命——七省市第十一届建筑市场与招标投标联席会优秀论文集[C];2011年
9 王兰成;敖毅;;基于COM及XML技术的异构数据库检索应用研究[A];第二十届全国数据库学术会议论文集(技术报告篇)[C];2003年
10 赵慧清;周东晓;杨新成;邢永华;;我校图书馆特色文献数据库建设的实践与探索[A];数字图书馆资源建设与发展学术研讨会暨中国农学会农业图书馆分会理事工作会议会议资料[C];2007年
中国重要报纸全文数据库 前10条
1 本报记者 高春燕;云时代数据库发展需要高端人才[N];中国计算机报;2011年
2 本报记者 吴玮;用户青睐满足实际需求的数据库产品[N];中国计算机报;2011年
3 梁力;中小企业数据库选型要量力而行[N];中国商报;2011年
4 ;数据库产品市场三分天下[N];中国计算机报;2001年
5 本报记者 许继楠;国产基础软件联合做强[N];中国计算机报;2011年
6 本报记者 汤铭;人大金仓:“核高基”带来国产数据库发展机会[N];计算机世界;2010年
7 本报记者 吴玮;双供应商渐成趋势[N];中国计算机报;2011年
8 本报记者 毛晶慧;打破垄断 国产数据库突围[N];中国经济时报;2010年
9 本报记者 金振蓉;数据库产品期待质量标准[N];光明日报;2005年
10 本报记者 潘永花;数据库的故事依旧精彩[N];网络世界;2001年
中国博士学位论文全文数据库 前10条
1 董岩;汉族人外鼻三维形态数据库的建立与应用[D];第四军医大学;2010年
2 刘明铭;资源适应型多粒度负载的均衡机制及应用研究[D];南开大学;2013年
3 刘念;DAS模型中的数据库加密与密文检索研究[D];北京邮电大学;2010年
4 王丹;黑龙江省农业气象信息服务平台构建研究[D];东北农业大学;2012年
5 阎红灿;面向Web的XML文档数据管理及分类检索技术研究[D];天津大学;2009年
6 李尚勇;有色金属热力学数据库的计算模型与架构体系研究[D];昆明理工大学;2012年
7 杜明;基于Flash混合存储的电子商务数据库性能优化研究[D];东华大学;2013年
8 汪陈应;XML数据编码与存储管理关键技术研究[D];南开大学;2010年
9 廖军;公路交通信息资源整合及系统实现研究[D];长安大学;2009年
10 马亚明;嵌入式空间数据库理论与技术研究[D];解放军信息工程大学;2011年
中国硕士学位论文全文数据库 前10条
1 谢慧晟;建筑材料质量检测系统的设计与实现[D];电子科技大学;2010年
2 王奎云;头痛病案数据库的研发及临床应用[D];重庆医科大学;2011年
3 王哲;基于XML数据库的中间件的研究与实现[D];北京邮电大学;2010年
4 李静;数据库的高效恢复研究[D];电子科技大学;2010年
5 陈炜;基于网络的数据库审计和风险控制研究[D];武汉理工大学;2013年
6 李博;数据库保留原格式加密分析研究[D];吉林大学;2011年
7 韩琦;基于B/S结构的职业指导系统的设计与实现[D];大连理工大学;2009年
8 童婷;新闻媒体数据库的建设与应用研究[D];华中科技大学;2010年
9 段文亮;新疆联通客服跨省积分支撑系统设计与实现[D];电子科技大学;2009年
10 张胜;电子商务系统中商品数据库扩展与优化研究[D];安徽理工大学;2013年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026