学位论文 > 优秀研究生学位论文题录展示

针对Oracle数据库提权漏洞的游标类注入提权技术及防御方法的研究

作 者: 张小虎
导 师: 耿国华
学 校: 西北大学
专 业: 软件工程
关键词: Oracle SQL注入攻击 权限提升 游标注入
分类号: TP311.138
类 型: 硕士论文
年 份: 2012年
下 载: 24次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着计算机网络的快速发展,以Web应用后台数据库为目标的攻击方式成为攻击者非法窃取信息的重要手段。同时,Oracle数据库作为世界上最成熟的关系数据库之一,已被广泛的应用于金融等重要领域,因此针对以Oracle数据库为后台数据系统的各类攻击尤为常见。本文首先分析了Oracle数据库中广泛存在的权限提升漏洞,提出了目前较为有效的游标类注入式攻击方法以及相关的防御方法,最后设计了基于游标注入攻击的自动化攻击工具。具体工作如下:1)在分析SQL注入攻击产生原因的基础上,归纳出四种针对Oracle数据库的注入攻击方式,为游标类注入提权防御手段的研究提供理论支持;2)分析常用的三大类Oracle数据库权限提升技术,包括PL/SQL提权,Lateral提权以及间接提权,并通过研究总结出这些技术各自的优缺点,最后给出相应的防御预案;3)研究两种通过游标完成用户权限提升的技术。从实验代码中分析这两种提权技术的实现原理,并使用LOOP循环改进了游标Snarf注入提权技术。同时利用游标注入提权技术改进了通过DBMS_SQL包及SDO_DROP_USER_BEFORE触发器进行提权攻击的方法。4)提出一种防御游标注入提权技术的方法。该方法通过构建限制型触发器,限制用户执行DDL语句,进而通过实验证明该方法能够有效防御针对Oracle数据库系统的游标注入式攻击;5)针对以Oracle数据库为后台的WEB应用,设计并实现一个自动化注入工具Autolnject。该工具拥有多种实用功能,如查询WEB应用使用的数据库信息,显示当前用户及其权限,读取数据库中表及列的信息等。

全文目录


摘要  3-4
Abstract  4-8
第一章 绪论  8-12
  1.1 网络安全中的SQL注入攻击背景  8-9
  1.2 国内及国外的研究现状  9-10
  1.3 本文的研究内容  10-11
  1.4 本文的组织结构  11-12
第二章 针对Oracle的SQL注入方式及常用提权技术  12-30
  2.1 SQL注入基本原理简介  12
  2.2 针对Oracle数据库的SQL注入攻击技术  12-16
  2.3 提权技术基础:PL/SQL语句执行权限  16-17
  2.4 Oracle数据库常用提权技术  17-30
    2.4.1 利用PL/SQL提升用户权限  17-20
    2.4.2 Lateral权限提升技术  20-24
    2.4.3 间接权限提升技术  24-30
第三章 游标类注入提权攻击技术  30-50
  3.1 游标Snarf权限提升技术  30-36
    3.1.1 游标Snarf权限提升技术原理  30
    3.1.2 游标Snarf权限提升技术实现方法  30-34
    3.1.3 改进游标Snarf权限提升技术  34-35
    3.1.4 游标Snarf权限提升技术所产生的危害  35-36
  3.2 攻击者所面对的问题  36-39
  3.3 游标注入权限提升技术  39-48
    3.3.1 游标注入权限提升技术原理  39
    3.3.2 改进DBMS_SQL包提权攻击  39-44
    3.3.3 改进SDO_DROP_USER_BEFORE触发器提权攻击  44-48
  3.4 游标类注入提权技术的特点  48-50
第四章 游标类注入提权技术防御方法的研究  50-60
  4.1 游标Snarf权限提升技术防御方法的研究  50-54
    4.1.1 游标Snarf提权技术防御方法的提出  50-51
    4.1.2 防御方法的实验证明及效果  51-54
  4.2 游标注入权限提升技术防御方法的研究  54-59
    4.2.1 游标注入提权技术防御方法的实验基础  54-56
    4.2.2 游标注入提权技术防御方法的提出  56
    4.2.3 防御方法的实验证明及效果  56-59
  4.3 实验结果总结与分析  59-60
第五章 自动化注入工具AutoInject的原型实现  60-72
  5.1 AutoInject需求分析  60-63
    5.1.1 AutoInject功能分析  60-61
    5.1.2 AutoInject用例描述  61-63
  5.2 AutoInject功能及界面简介  63-67
    5.2.1 AutoInject功能图  63-64
    5.2.2 AutoInject各模块简介  64-67
  5.3 AutoInject的具体实现  67-71
  5.4 小结  71-72
第六章 总结与展望  72-74
  6.1 本文工作总结  72-73
  6.2 进一步工作展望  73-74
参考文献  74-78
致谢  78

相似论文

  1. 数据库同步技术在灾备系统中的应用研究,TP309.3
  2. 基于Oracle的移动彩铃分布式数据库设计与实现,TP311.13
  3. 社会保障体系中医疗保险的数据挖掘与联机分析研究,TP311.13
  4. 基于ArcGIS的辽宁省矿产资源规划管理系统开发与研究,P208
  5. 基于C/S结构的钢瓶管理信息系统的设计与实现,TP311.52
  6. 基于JSP的办公自动化管理系统的设计与实现,TP311.52
  7. 基于Oracle Spatial的移动通信网络覆盖优化的研究,TN929.5
  8. 双层防御SQL注入攻击的方法,TP393.08
  9. 潍坊五洲浩特电气有限公司研发管理系统的设计与实现,TP311.52
  10. 异构数据库集成在办公自动化中的应用,TP311.13
  11. 基于JAVA EE的双主体教学支撑平台研究与实现,TP311.52
  12. 优化MKPCA模型及注塑过程监测软件的设计,TQ320.662
  13. 保险行业中账户支付系统的设计与实现,TP311.52
  14. 基于车载测图系统的室内调绘新技术研究,P231.5
  15. 基于JAVA技术的B2C电子商城网站系统设计与实现,TP393.092
  16. 南京电信BSS障碍自动处理系统的设计实现及应用,TP311.52
  17. Oracle数据库解密技术及权限提升漏洞的挖掘研究,TP311.13
  18. ORACLE数据传输技术在保险信息系统上线过程中的应用,TP311.13
  19. 基于oracle的远程数据库监控系统的设计与实现,TP311.13
  20. 交通违规信息管理系统设计和实现,TP311.52
  21. 基于SSH框架的企业基建工程项目管理系统,TP311.52

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机软件 > 程序设计、软件工程 > 程序设计 > 数据库理论与系统 > 数据库系统:按系统名称分
© 2012 www.xueweilunwen.com