基于SQL注入攻击的Web结构分析

2018-02-28苏丽

电子技术与软件工程 2018年13期

苏丽

摘要本文在SQL注射攻击和Web环境之间关系的基础上，讲述了Web工作原理、Web程序的通信方式等，为理解SQL注入的生成过程提供一些背景知识。

【关键词】Web 工作机制 POST请求 GET 请求流程

1 引言

在网络技术与信息技术飞速发展的科技时代，Web应用程序具备界面统一、容易维护、操作简洁、共享度高、扩展性良好等优点。Web应用程序被运用到生活中的各个方面，由于Web应用是建立在广域网的基础上，对安全的管控行为力度较弱，攻击者趁机运用这个机会提交一段数据库查询代码，依据程序返回的内容，就可以获取一些数据库信息。

2 Web结构与工作机制分析

2.1 Web结构

Web是一个由文档组成的超大规模集合，其中使用链接互相联系。这些文档是由Web服务器提供，能够通过浏览器进行访问。Web是一组软件协议的集合。Web应用是一种用Web浏览器并经过intemet或内部往来访问的程序，Web应用程序通常是须要Web浏览器，Web服务器，是基于客户机/服务器的配置而运行的，即B/S结构。

当用户在客户端点击相应的链接发出页面请求的时候，Web服务器接到这个请求并按照请求处理逻辑进行处理，如果用户的请求页面存储在数据库中，处理逻辑会连接后台数据库，检索用户所需要的原始数据并将其加工成网页的形势，最后由Web服务器软件将页面返回给用户。

2.2 Web工作机制

由于本文研究是基于SQL注入攻击进行Web研究与分析，所以只讨论超文本传输协议。超文本传输协议包含两个阶段：请求阶段和响应阶段。浏览器和Web服务器之间的每一次http通信都包含这两个部分：头部和主体。头部里面含有与通信有关消息，主体里面是通信的数据，当然前提是存在这样的数据。

此次研究只讨论在Web应用中SQL注入常见的HTTP方法：GET、POST。它们各自的特点如下：

2.2.1 GET请求

发起GET请求时服务器使用的HTTP方法是显示在URL中。一般Web浏览器发起GET请求，发送到Web服务器，然后会在浏览器中出现结果，GET请求对用户来说是可见的，但发送给Web服务器的GET请求格式如下：

GET/search.aspx？text=lcd%20monitors&cat=l&num=20 HTTP/1.1

Hosr：www.xx.com

User-Agent：Mozilla/5.O（xll;U;Linuxx86_64;en-US;rv：1.8.1.19）

Accept：text/xml，application/xml，applic ation/xhtml+xml，

Text/html; q=0.6，text/plain;q=0.7，image/png.*/*;q=0 8

Accept-Encoding：gzip，deflate