版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
和SQL注入说再见!汉领信息科技有限公司副总经理DT时代面临的数据库安全威胁优雅而坚定的SQL注入说再见应用场景#Verizon2015Other(#Verizon2015Other(server)Other(people)pplicationWAFWAF网络防火墙不对数据库通讯协议进行控制对对数据库通信协议的控制很弱绕绕过WAF的刷库行为屡见不鲜无法解决来自业务本身的安全威胁广泛存在广泛存在手段隐蔽特征不可穷举攻击手段及工具平民化微软雅黑13号单击此处添加副标题SQL注入漏洞就会一直存在系,视情况而定数据安全 人人拥有管理权限(高危)C/S拥有使用权限(中危)结构化数据 结构化数据 (高) (中) (中)系统0day/应用程序0day直接接触/间接接触数据X拒绝X拒绝ttpleadsinocomnewsidSelect*fromnewswhereid=1允许HTTP/HTTPS…… SQL语句(TNS、TDS……)允许HTTP/HTTPS……/news/id=1’and1=2unionselect*formuserswhereid=‘1Select*fromnewswhereid=‘1’and1=2unionselect*formuserswhereid=‘1’SQL注入业务模态化 (水)利用中间件通道SQLSQL注入业务模态化 (水)利用中间件通道SQL注入嫌疑犯 (鱼)上传工具运维现有工具据建模数据建模:扩展“无危险不审计”白名单,通过对业务SQL语句的关键字、逻辑关系等特征自劢采样学习,并结合高性能的SQL语义分析计算,构建对应的SQL语法树,完成模态数据建模:*此模块对SQL注入的探测与防御有特别的意义*目标地址端口数据库账号名客户端主机名客户端用户名客户端程序名SQL语句底层交互信息 (业务数据、运维数据、非法数据)核心思想:放水抓鱼鱼SQL求其他所有SQLSQL求其他所有SQL请NGDAPNGDAPSQLSQL语句鉴别白型攻攻击告警,攻击用场景系统0day/应用程序0day直接接触/间接接触数据 服务器库数据库全协议解码eDBSQLServerInforMIXSYBASE超低延时,透明网桥模式部署三层Bypa
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 二零二五版食堂泔水处理与环保设备销售合同2篇
- 2025年度电子商务平台承包招商合同范本3篇
- 二零二五版大棚租赁合同绿色环保附加条款3篇
- 2025年度安全生产风险评估与管理合同集3篇
- 年度钴基及钴镍基竞争策略分析报告
- 2025年暑期实习岗位劳动合同范本3篇
- 2025年度专业舞台搭建租赁合同3篇
- 2024-2025学年高中历史课时分层作业十二5.1科学社会主义的奠基人马克思含解析新人教版选修4
- 2025年度环保节能零星工程设计与施工一体化合同4篇
- 2025年度现代农业示范区农资集成采购合同3篇
- 农用地土壤环境质量类别划分技术指南(试行)(环办土壤2017第97号)
- 反向开票政策解读课件
- 工程周工作计划
- 房地产销售任务及激励制度
- 六年级语文下册14文言文二则《学弈》课件
- 2024年内蒙古中考语文试卷五套合卷附答案
- 并购指南(如何发现好公司)
- 垃圾分类亭合同协议书
- 物权转移协议
- 高三高考地理一轮课时练习:洋流(单选题)
- 2024年餐饮类“食品安全及质量管理员”知识考试题库(附含答案)
评论
0/150
提交评论