版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
和SQL注入說再見!漢領信息科技有限公司副總經理DT時代面臨的數據庫安全威脅優雅而堅定的SQL注入說再見應用場景#Verizon2015Other(#Verizon2015Other(server)Other(people)pplicationWAFWAF網絡防火墻不對數據庫通訊協議進行控制對對數據庫通信協議的控制很弱繞繞過WAF的刷庫行為屢見不鮮無法解決來自業務本身的安全威脅廣泛存在廣泛存在手段隱蔽特征不可窮舉攻擊手段及工具平民化微軟雅黑13號單擊此處添加副標題SQL注入漏洞就會一直存在系,視情況而定數據安全 人人擁有管理權限(高危)C/S擁有使用權限(中危)結構化數據 結構化數據 (高) (中) (中)系統0day/應用程序0day直接接觸/間接接觸數據X拒絕X拒絕ttpleadsinocomnewsidSelect*fromnewswhereid=1允許HTTP/HTTPS…… SQL語句(TNS、TDS……)允許HTTP/HTTPS……/news/id=1’and1=2unionselect*formuserswhereid=‘1Select*fromnewswhereid=‘1’and1=2unionselect*formuserswhereid=‘1’SQL注入業務模態化 (水)利用中間件通道SQLSQL注入業務模態化 (水)利用中間件通道SQL注入嫌疑犯 (魚)上傳工具運維現有工具據建模數據建模:擴展“無危險不審計”白名單,通過對業務SQL語句的關鍵字、邏輯關系等特征自勱采樣學習,并結合高性能的SQL語義分析計算,構建對應的SQL語法樹,完成模態數據建模:*此模塊對SQL注入的探測與防御有特別的意義*目標地址端口數據庫賬號名客戶端主機名客戶端用戶名客戶端程序名SQL語句底層交互信息 (業務數據、運維數據、非法數據)核心思想:放水抓魚魚SQL求其他所有SQLSQL求其他所有SQL請NGDAPNGDAPSQLSQL語句鑒別白型攻攻擊告警,攻擊用場景系統0day/應用程序0day直接接觸/間接接觸數據 服務器庫數據庫全協議解碼eDBSQLServerInforMIXSYBASE超低延時,透明網橋模式部署三層Bypa
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 倉庫現場人員管理制度
- 企業員工幫扶管理制度
- poct試驗管理制度
- 中學技術教室管理制度
- 業務數據修改管理制度
- 鄉級單位食堂管理制度
- 三區人才培訓管理制度
- 企業班組看板管理制度
- 倉庫以舊換新管理制度
- 鄉村旅游住宿管理制度
- 初中數學課程標準解讀與教材分析doc
- 江蘇省鹽城市2022-2023學年七年級下冊生物期中試卷
- GA∕T 1781-2021 公共安全社會視頻資源安全聯網設備技術要求
- 基本藥物和國家基本藥物制度
- Photoshop二級考試試題及答案
- 裂隙燈數碼型slm說明書
- 傷口基礎知識和濕性愈合理論
- 晶圓封裝測試工序和半導體制造工藝流程
- 重力式橋臺的計算公式
- 專家共識--缺血性卒中側支循環評價知識講解
- 氣動油泵的工作原理
評論
0/150
提交評論