久久久国产精品,成人无码精品1区2区3区免费看,日韩男人天堂,午夜77777

鄭州信息科技中專職業(yè)學(xué)院中專部

不僅僅統(tǒng)招學(xué)歷喲

  • 熱門專業(yè)!
  • 大學(xué)校園!
  • 就業(yè)保障!
  • 拿學(xué)歷又能高薪就業(yè),誰能不愛!
了解詳情>
鄭州北大青鳥翔天信鴿參加“安心學(xué)習(xí)·放心就業(yè)”公約簽約儀式

讓每一個家庭“安心”、“放心”

  • 教學(xué)為本
  • 師愛為魂
  • 安心學(xué)習(xí)
  • 放心就業(yè)
了解詳情>
北大青鳥20周年慶典與總部年會鄭州翔天信鴿榮獲7項(xiàng)榮譽(yù)

深耕細(xì)作IT職業(yè)教育15載

  • 青鳥之星教學(xué)質(zhì)量大獎
  • 卓越風(fēng)云人物
  • 北大青鳥中心理事會成員
  • 七項(xiàng)榮耀載譽(yù)而行!
了解詳情>
鄭州北大青鳥學(xué)員喜獲全國IT精英挑戰(zhàn)賽冠軍

我們教學(xué)怎么樣

  • 實(shí)力見證
  • 網(wǎng)絡(luò)組一等獎
  • 網(wǎng)絡(luò)組二等獎
  • 軟件組四等獎
  • 200家校區(qū)脫穎而出!
了解更多>
北大青鳥榮獲315重承諾守信用放心品牌

北大青鳥職業(yè)IT20周年

  • 重承諾
  • 守信用
  • 放心品牌
  • 放心學(xué)習(xí)
  • 靠靠譜譜好就業(yè)!
了解更多>
學(xué)IT好工作高薪就業(yè)

我命由我不由天

  • 學(xué)個性的技術(shù)
  • 做愛做的事
  • 掙滿意的錢
  • 衣食無憂
  • 選擇寬且高大尚!
了解更多>
鄭州北大青鳥IT培訓(xùn)辦學(xué)14年

我們靠不靠譜

  • 14年辦學(xué)
  • 14年磨練
  • 14年成長
  • 14年探索
  • 只為讓每個學(xué)員成材!
了解更多>
鄭州北大青鳥IT培訓(xùn)

不打工也牛掰

  • 好工作
  • 好環(huán)境
  • 高薪資
  • 好課程
  • 支持你成為有“錢”人!
了解更多>

學(xué)IT就讀北大青鳥

  • 好工作
  • 好未來
  • 好老師
  • 好課程
  • 支持你成為受人尊敬的人!
了解更多>
    當(dāng)前位置: 首頁 > 河南鄭州北大青鳥學(xué)校 > 技術(shù)交流 > 數(shù)據(jù)庫
數(shù)據(jù)庫審計在代碼安全檢查中有哪些應(yīng)用呢?
作者:北大青鳥 添加時間:03-10 瀏覽次數(shù):0

  今天我們來探討下數(shù)據(jù)庫審計在代碼安全檢查中有哪些應(yīng)用?文章今天就為大家解決這個問題!

   問題
   代碼安全是眾多安全問題的根源。不安全的代碼,往往能夠被攻擊者利用,從而竊取用戶隱私甚至協(xié)助攻擊者盜取商業(yè)機(jī)密。正因?yàn)槿绱,越來越多的公司在產(chǎn)品研發(fā)階段引入了代碼安全檢查。常見的代碼安全檢查方法包括:人工遍歷和靜態(tài)工具掃描。但無論哪一種,都存在一定的弊端,特別是無法回避一個共同的問題:某些漏洞無法立即驗(yàn)證——前端構(gòu)造的危險SQL命令是否已經(jīng)在數(shù)據(jù)庫中執(zhí)行。
思路
本文檔以PHP+MySQL注入攻擊為例,引入數(shù)據(jù)庫審計功能,增強(qiáng)代碼安全檢查和漏洞挖掘的效率。在一個典型的Web安全架構(gòu)中,Web前端都會與后臺數(shù)據(jù)庫進(jìn)行交互。代碼審計過程中無法發(fā)現(xiàn)的隱蔽問題,在數(shù)據(jù)庫審計日志中往往能夠得到體現(xiàn)。
 
   策略
   以典型的SQL注入為例,當(dāng)攻擊者訪問PHP注入點(diǎn)時,往往會通過篡改參數(shù)的方式提交注入命令。如果被攻擊頁面腳本確實(shí)存在漏洞,則非法命令必定會被帶入SQL語句的執(zhí)行過程。因此,在開啟數(shù)據(jù)庫審計功能的情況下,完全可以借助數(shù)據(jù)庫審計日志,判斷前端SQL注入是否成功。
 
   實(shí)現(xiàn)
   下圖是一個典型的PHP + MySQL注入點(diǎn)。前端Web頁面存在SQL注入漏洞,導(dǎo)致攻擊者提交的非法表單數(shù)據(jù)被帶入SQL命令。(為方便演示,本頁面回顯了SQL語句。)
 數(shù)據(jù)庫審計在代碼安全檢查中有哪些應(yīng)用呢?
   若要通過數(shù)據(jù)庫審計日志查看SQL命令是否成功執(zhí)行,還需要在執(zhí)行該操作前配置MySQL數(shù)據(jù)庫審計功能。方法如下:
編輯MySQL配置文件mysql.ini
設(shè)置log參數(shù)為指定日志文件路徑,log=”E:/mysql.log”
 數(shù)據(jù)庫審計在代碼安全檢查中有哪些應(yīng)用呢?
   修改完成后,保存配置文件并重新啟動MySQL服務(wù)。
 數(shù)據(jù)庫審計在代碼安全檢查中有哪些應(yīng)用呢?
   再次訪問URL:http://127.0.0.1/sqlinject/sql.php,提交包含非法參數(shù)的SQL注入命令。
數(shù)分鐘后(數(shù)據(jù)庫寫日志有緩存機(jī)制,不是立即寫入),訪問文件E:\mysql.log。可以清除地看到MySQL數(shù)據(jù)庫確實(shí)執(zhí)行了帶有非法參數(shù)的SQL命令,由此可以判斷sql.php的代碼確實(shí)存在SQL注入漏洞。
本次安全代碼檢查的過程如下圖所示,該方法同樣適合于其它類型的Web代碼安全檢查,如:ASP、JSP等;特別是那些前端不顯示
數(shù)據(jù)庫審計在代碼安全檢查中有哪些應(yīng)用呢?

  總結(jié)
   本文檔為代碼審計、漏洞挖掘提供了一個有價值的參考性的思路。該思路能在一定程度上提高了代碼審計的效率和精準(zhǔn)度,但也存在一定的弊端,例如:生產(chǎn)系統(tǒng)一般不會輕易開啟審計功能,因此該方案無法應(yīng)用到生產(chǎn)環(huán)境。此外,如果網(wǎng)站應(yīng)用較多,測試過程中產(chǎn)生的數(shù)據(jù)庫日志量大,對日志進(jìn)行檢測和比對會產(chǎn)生一定的工作量。盡管如此,該方法仍然不失為有效的安全核查手段,畢竟在SQL日志中發(fā)現(xiàn)惡意數(shù)據(jù)庫命令,足以說明前端代碼的不安全性!
數(shù)據(jù)庫審計在代碼安全檢查中有哪些應(yīng)用呢?
  更多技術(shù)文章請關(guān)注北大青鳥官方網(wǎng)站!
   文章由鄭州北大青鳥http:///整理,轉(zhuǎn)載請注明!

本文由站河南北大青鳥校區(qū)整編而成,如需了解更多IT資訊類的文章、新聞、課程和學(xué)習(xí)技巧、就業(yè)案例、招生詳情等問題,可以對在線咨詢老師進(jìn)行一對一問答!

分享到: