跳到主要內容

臺灣博碩士論文加值系統

::: 網站導覽| 首頁| 關於本站| 聯絡我們| 國圖首頁| 常見問題| 操作說明
English |FB 專頁 |Mobile
  • 一般民眾
  • 研究人員
  • 校院系所及研究生

    功能切換導覽列

  • 論文查詢
  • 排行榜
  • 影音圖像
  • 主題館(另開新視窗)
  • 我的研究室
  • NDLTD查詢(另開新視窗)
(216.73.216.54) 您好!臺灣時間:2026/01/11 21:55
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示
第一頁 上一頁 下一頁 最後一頁
/1
: 
twitterline
研究生:陳柏翰
研究生(外文):Bo Han Chen
論文名稱:防禦SQL Injection攻擊之有效實務
論文名稱(外文):Effective Practices For Defending SQL Injection Attacks
指導教授:黃景彰黃景彰引用關係
指導教授(外文):J.J. Hwang
學位類別:碩士
校院名稱:長庚大學
系所名稱:資訊管理學系
學門:電算機學門
學類:電算機一般學類
論文種類:學術論文
論文出版年:2010
畢業學年度:98
論文頁數:77
中文關鍵詞:資訊安全資料隱碼資料外洩網站攻擊個人資料保護
外文關鍵詞:Information SecuritySQL InjectionData Leakage Preventionwebsite attackISO 27002
相關次數:
  • 被引用被引用:3
  • 點閱點閱:2103
  • 評分評分:
  • 下載下載:307
  • 收藏至我的研究室書目清單書目收藏:1
伺服器網頁程式讀取或操作資料庫時,如果程式設計者於程式的執行過程中未檢查從客戶端傳回網頁的變數資料,這種傳遞網頁變數資料的方式,容易造成讓網路上惡意的攻擊者使用攻擊程式,發現網頁程式的弱點進行攻擊行為,造成公司與個人資料外洩或客戶讀取網頁時,被植入木馬程式…等資訊安全問題。

本論文將研究如何使用網頁應用程式掃瞄工具軟體(Acunetix Web Vulnerability Scanner)、梭子魚網頁應用程式防火牆設備(Barracuda Web Application Firewall ) 並搭配Splunk字串搜尋引擎軟體,查尋網頁伺服器與梭子魚網頁應用程式防火牆 (Barracuda Web Application Firewall )記錄檔。並將字串搜尋引擎分析的結果回饋至防護設備微調防護設定,以提升網站程式對於資料隱碼(SQL Injection)的攻擊防護。網頁程式開發者只需利用梭子魚網頁應用程式防火牆(Barracuda Web Application Firewall )描述網頁輸出入資料的相關屬性,此防護設備便能自動對網頁資料進行保護。我們將此防護設備建置在網路防火牆與Web 伺服器之間,開啟梭子魚網頁應用程式防火牆 (Barracuda Web Application Firewall )透通的功能,將網路使用者輸出入的資料,導入此設備進行篩選。所謂透通的功能(Transparent Mode),代表不需要更改現存網路設備的設定,即可完成安裝、設定組態與動態封包的過濾。由於不需要更改現存的網頁應用程式與資料庫設定並且此防護設備操作簡易,而且操作介面可以支援多國語言,因此方便維護人員的操作維護,並且能加速設備的應用與導入。
When setting up a web server to read from a database, it’s important that the designer check the parameter information being passed from the customer to the webpage. Otherwise, the transmission of this data could create opportunities for assailants to find weaknesses which can be used to attack thesystem, possibly leading to loss of corporate or customer information.

This study proposes the use of the Acunetix Web Vulnerability Scanner, Barracuda Web Application Firewall, and Splunk search engine to search the web server and Barracuda Web Application Firewall log file to improve defenses against SQL injection attacks by protecting the results of search engine analyses to safeguard feedback. The webpage manager only uses the Barracuda Web Application Firewall to describe the relevant attributes of the webpage outputs, This firewall device, positioned between the network firewall and the Web server, can protect the webpage automatically and can open the Barracuda Web Application Firewall transparent mode, and directly check the output of network user information. The so-called Transparent Mode need not be updated to allow for installation, settings configuration and dynamic packet filtering. Without the need to change the extant webpage application program and database settings, this safeguard can be simply and easily configurated, and operating interfaces can offer multi-lingual support to assist the work of maintenance staff and accelerate the adoption and deployment application of the equipment.

第一章 緒論 1
1.1 研究背景與動機 1
1.2 研究目的 5
1.3 研究方法 6
第二章 文獻探討 7
2.1 簡介SQL INJECTION攻擊 7
2.2 受到影響的系統 7
2.3 資安入侵事件 8
2.4 SQL INJECTION攻擊解說 9
2.4.1 攻擊成立的前提 9
2.4.2 一般輸入帳號密碼網站的SQL語法 10
2.4.3 SQL Injection攻擊(範例一) 11
2.4.4 SQL Injection攻擊(範例二) 11
2.4.5 SQL Injection攻擊(範例三) 13
2.4.6 SQL Injection攻擊(範例四) 14
2.5 一般常見防範SQL INJECTION的方法 16
2.5.1 程式撰寫方面 16
2.5.2 資料庫管制方面 20
2.5.3 調整網頁伺服器的安全性 (以Microsoft IIS為例) 20



第三章 防範SQL INJECTION有效方法:ACUNETIX &WEB FIREWALL & SPLUNK搜尋軟體之整合應用。 23
3.1 ACUNETIX WEB VULNERABILITY SCANNER 網頁應用程式掃瞄軟體簡介 23
3.1.1 軟體特性 24
3.1.2 軟體功能 24
3.2 梭子魚應用程式防火牆 (BARRACUDA WEB APPLICATION FIREWALL )簡介 25
3.2.1 硬體特性 25
3.2.2 硬體功能 26
3.3 SPLUNK字串搜尋引擎簡介 30
3.3.1 軟體特性 31
3.3.2 軟體功能 32
3.4 預期效益 35
第四章 利用軟硬體整合應用的實務範例 36
4.1 範例概念 36
4.2 檢測與防禦SQL INJECTION攻擊流程圖 37
4.3 案例描述 38
4.3.1 使用Acunetix網頁應用程式掃瞄軟體檢測的結果與操作 39
4.3.2 使用梭子魚應用程式防火牆檢測的結果與操作 44
4.3.3 使用Splunk字串搜尋引擎檢測的結果與操作 58
4.3.4 安裝防護架構過程中,排除問題的方式 60


4.4 軟硬體整合性防護工具達成的效益 64
4.4.1 網頁應用程式掃瞄工具軟體的效益(Acunetix Web Vulnerability Scanner) 64
4.4.2 梭子魚應用程式防火牆的效益 (Barracuda Web Application Firewall ) 65
4.4.3 Splunk字串搜尋引擎的效益 66
4.4.4 與傳統的防護方式比較 67
4.4.5 此防禦方式達成的效益 70
第五章 結論與未來研究方向 73
5.1 結論 73
5.2 未來研究方向 75

知識詞典,2008,一些防止SQL注入攻擊的方法,http://blog.dic123.com/article.asp?id=425。
資策會,2009,2009年我國家庭寬頻應用現況與需求調查—應用行為,http://www.communications.org.tw/getdetail.php?n_unit=1928

OWASP,2010,OWASP T10 – 2010,http://www.owasp.org/index.php/File:OWASP_T10_-_2010_rc1.pdf

(陳培德,2002,SQL Injection (資料隱碼) 簡介,成大電機所密碼與網路安全研究室網站,http://tnrc.ncku.edu.tw/course/91/17-SQL.ppt)

OWASP,2010,OWASP Top10 2010版初探網站資安風險管理,http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

麟瑞科技,2008,網路攻防技術研討課程Day 2,http://140.125.32.10/network_security2008/%E7%B6%B2%E8%B7%AF%E6%94%BB%E9%98%B2%E8%AA%B2%E7%A8%8B-Day%202_wo_google.pdf

資安之眼,2010,TW 網站淪陷資料庫,http://www.itis.tw/compromised

Microsoft,2002,SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲,http://www.microsoft.com/taiwan/sql/SQL_Injection_G1.htm


Microsoft,2004,How To:使用 IISLockdown.exe,http://www.microsoft.com/taiwan/msdn/secmod/html/secmod113.mspx

Microsoft,2004,How To:使用 URLScan,http://www.microsoft.com/taiwan/msdn/secmod/html/secmod114.mspx

Microsoft,2004,在 ASP.NET 中執行 URL 重寫,
http://msdn.microsoft.com/zh-cn/library/ms972974.aspx

(Barracuda Network,2010 ,Barracuda 梭子魚應用程式防火牆簡介,http://www.barracudanetworks.com/ns/downloads/Tech_Datasheets/Barracuda_Web_Application_Firewall_TDS_US.pdf

連結至畢業學校之論文網頁點我開啟連結
註: 此連結為研究生畢業學校所提供,不一定有電子全文可供下載,若連結有誤,請點選上方之〝勘誤回報〞功能,我們會盡快修正,謝謝!
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top
  簡易查詢 | 進階查詢 | 熱門排行 | 我的研究室
本系統(Web7)共收集:論文已授權全文:822233 筆、書目與摘要:1521848
目前上線人數:13894 / 訪客人次(自99年6月):771890774 / 檢索次數(自99年6月):6688605710 / 指導單位: 教育部
國家圖書館著作權聲明 Copyright © 2010 All rights reserved.
本館地址:100201 臺北市中山南路20號 電話:02-2361-9132 (本系統服務窗口請轉分機 172、870)
本網站最佳瀏覽解析度為 1600 x 900
無障礙網站