Microsoft Word doc - PDF 免费下载

第 38 卷第 18 期 Vol.38 No.18 计算机工程 Comuter Engineering 01 年 9 月 Setember 01 安全技术摘基于网页 DOM 树比对的 SQL 注入漏洞检测张晨, 汪永益, 王雄, 施凡 ( 电子工程学院网络工程系, 合肥 30037) 要 : 针对传统 SQL 注入漏洞检测方法准确率不高的问题, 提出一种基于网页文档对象模型 (DOM) 树比对结果的检测方法通过简化基于节点序列的网页比对方法, 减少节点比对次数, 加快检测效率, 并设计实现一个 SQL 注入漏洞检测原型系统实验结果表明, 该系统具有较高的 SQL 注入漏洞检测效率和准确率关键词 : 网页比对 ;SQL 注入 ; 注入漏洞检测 ; 文档对象模型树 ;DOM 树快速比对 SQL Injection Vulnerability Detection Based on Webage DOM Tree Comarison ZHANG Chen, WANG Yong-yi, WANG Xiong, SHI Fan (Deartment of Network Engineering, Eleconic Engineering Institute, Hefei 30037, China) Absact Aiming at the roblem that aditional SQL injection vulnerability detection results have low accurateness, this aer resents a detection method based on the comarison results of the Webage s Document Object Model(DOM) ee. By simlifying the Web comarison algorithm based on node sequences, it reduces the number of node comare times, and accelerates the detection. A corresonding SQL injection vulnerability detection rototye system is designed and imlied. Exerimental results indicate that the system has high detection efficiency and accurateness. Key words Webage comarison; SQL injection; injection vulnerability detection; Document Object Model(DOM) ee; fast DOM ee comarison DOI: 10.3969/j.issn.1000-348.01.18.030 文章编号 :1000 348(01)18 0111 05 文献标识码 :A 中图分类号 :TP391 1 概述随着网络技术的飞速发展和 Web 时代的到来, 越来越多的公司企业政府部门等在互联网上建立了相应的门户网站 Web 漏洞层出不穷, 根据互联网上权威安全机构 OWASP(Oen Web Alication Security Project) 的调查, 目前 SQL 注入攻击位居针对 Web 应用程序攻击的首位 [1], Web 页面 SQL 注入漏洞的存在给互联网的安全造成了巨大的影响, 会导致企业内部重要信息资料泄露利益受损, 甚至引发社会的混乱对 Web 页面 SQL 注入漏洞的检测和防御一直都是 Web 安全领域关注的重点, 国内外开展了大量的研究工作针对传统检测方法准确率不高误判较多的情况, 本文提出一种基于网页文档对象模型 (Document Object Model, DOM) 树快速比对的判定技术, 设计并实现相应的 SQL 注入漏洞检测原型系统 SQL 注入漏洞检测及网页比对技术 SQL 注入漏洞检测过程主要是指对目标 Web 站点的 URL 地址使用一定的技术手段进行注入测试, 然后根据返回的网页内容确定是否存在注入漏洞简单来说, 若在 URL 地址后附加 and 1=1 测试语句执行后返回正常网页, 而附加或 and 1= 测试语句执行后返回包含数据库错误信息的网页或者其他与正常时相异的网页, 则判定该 Web 页面存在 SQL 注入漏洞, 若都相同, 则判定不存在这样, 如何准确和迅速地比对出返回网页与正常网页的异同就成了 SQL 注入漏洞检测和确认过程的关键, 而且检测的准确率和效率很大程度上取决于此, 因此, 亟需研究出高效的网页比对技术目前,SQL 注入漏洞检测过程中使用的判断网页异同的技术比较简单, 流行的 SQL 注入检测工具主要采用种方法 : (1) 根据返回的 HTTP 状态码和网页内容长度, 进行判断 () 根据关键字进行判断 [] 第 (1) 种就是比较附加了 SQL 注入测试语句时返回网页的 HTTP 状态码网页内容长度与正常网页的是否相同, 若不同, 则判定网页相异, 若相同, 则判定网页未发生变作者简介 : 张晨 (1985-), 男, 硕士研究生, 主研方向 : 网络安全 ; 汪永益, 教授 ; 王雄, 硕士研究生 ; 施凡, 讲师收稿日期 :011-11-17 修回日期 :01-0-0 E-mail:zhangchen301@16.com

11 计算机工程 01 年 9 月 0 日化根据关键字判断就是判断附加了 SQL 注入测试语句时返回的网页中是否包含了正常网页中的某个字符串, 若包含, 则判定网页相同, 若不包含, 则判定网页相异 3 现有网页比对技术的缺陷大量的实践结果证明, 利用传统的判断方式进行注入漏洞检测, 虽简单易行, 但检测结果存在较高的误判率这是因为仅根据 HTTP 状态码和网页内容长度以及关键字进行判断, 无法得出准确结论具体而言,Web 站点出于安全方面的考虑, 大多数情况下人为修改了网页返回的状态码和网页内容长度, 使得在 SQL 注入漏洞的检测确认过程中无法准确得知注入命令是否得到执行以及返回的真实结果, 此时若根据传统方式判断, 就会得到错误的网页比对结果, 产生误判对于某些存在注入漏洞的 Web 页面, 注入后返回网页内容的长度与正常时相差无几, 据此也很难判定网页是否存在差异, 同样会造成误报另外, 对于关键字判断, 需要人工选取判断关键字, 而且关键字选择的恰当与否会在很大程度上影响判断结果的准确性以上缺陷导致了检测结果的不准确, 需要花费额外的时间去甄别验证, 降低了效率 4 基于 DOM 树的网页快速比对技术为了弥补传统技术的缺陷, 准确比对出个网页的异同, 本文提出了一种基于 DOM 树的网页快速比对技术, 首先提取网页的 HTML 文档并进行规范化预处理, 然后通过解析文档内容构建出对应的 DOM 树, 最后对 DOM 树进行快速比对, 判断出网页异同 4.1 HTML 文档和页面预处理 HTML 是一种描述文档结构的超文本标记语言 [3] 一个 Web 页面的 HTML 文档主要是用描述性的标记符来指明文档中的不同内容, 标记符多数是成对出现的, 每对标记符表示了不同的意义 [4], 用于将文档分成不同的逻辑结构, 如段落标题和表格但是许多 Web 页面的 HTML 文档格式并非严格符合 HTML 语法要求, 如元素标记不完整属性混乱标记嵌套不合理结束标记缺失, 这些会影响对 HTML 文档的正确解析, 需要对之进行预处理操作预处理是指对 HTML 文档中不完整或者存在缺陷的地方进行修复, 将其转换成语法良好格式规范的等价文档, 如符合 XML 标准的 XHTML 文档 [5] 转换后可利用各种 XML 标准技术来解析操作 XHTML 文档 4. DOM 树的构建和比对 DOM 是 W3C 制定的标准接口规范 [6] DOM 提供了访问和维护 XML/XHTML 文档的应用程序接口, 定义了文档的逻辑结构以及存取维护文档的方法 [7], 可根据文档中标记符之间的并列嵌套等关系将文档表示为一个树形结构, 该树即 DOM 树 [8] DOM 树的构建是指在 Web 页面预处理完成后, 对 XHTML 文档进行解析, 生成相应的 DOM 分析树具体来说, 就是利用解析函数分析出 XHTML 文档结构元素间的嵌套关系, 再根据这些嵌套包含关系构建一棵对象节点树 DOM 树, 并将 XHTML 文档中的标记符属性等内容映射成 DOM 树中的节点 DOM 树是包含了标签信息的有序树, 其节点存储了 XHTML 文档的所有信息, 基于 DOM 树的分析方式可以详细了解 XHTML 的组织结构以及各标记符之间的关系比对目标网页 DOM 树结构节点的差异可以很容易判断出个网页的异同 DOM 树比对主要是指对棵树进行相似性比较, 判 [9] 断是否相同, 常用的方法主要有基于简单树匹配算法的 [7] 比对基于 DOM 树节点序列的比对等简单树匹配算法主要是对棵树进行递归比较, 分析匹配节点的数目以判断树的异同, 时空开销比较大基于节点序列的比对是按某种方式遍历 DOM 树, 形成树中节点名称的序列, 再比较序列间的匹配程度来判断棵数的异同, 即转换成字符串的比对虽然采用上述方式可以判断出网页的异同, 但是对于大规模的 SQL 注入漏洞检测而言, 其效率较低, 不符合实际检测需求为了解决此问题, 本文提出了一种根据叶子节点和链路标记进行快速 DOM 树比对的算法 4.3 DOM 树快速比对算法在执行 SQL 注入检测时, 存在漏洞的 Web 页面其布局结构或者显示的文本内容会发生变化, 反映在相应的 DOM 树上往往是树的形状结构或者某条链路上对应的叶子节点内容出现差异下面以某个具体网页为例进行说明图 1 和图分别为正常网页截图和单引号测试时返回的出错网页截图图 3 和图 4 分别为两者对应的 DOM 树结构简图图图 1 正常网页单引号测试时返回的出错网页

第 38 卷第 18 期张晨, 汪永益, 王雄, 等 : 基于网页 DOM 树比对的 SQL 注入漏洞检测 113 html (5) 判定 DOM 树不同, 结束 head title X 市 X 局网站为落实执政为民的方针图 3 正常网页对应的 DOM 树结构简图 html head title X 市 X 局网站图 4 Microsoft JET 字符串的出错网页对应的 DOM 树结构简图 /viewtye 通过比对个目标 Web 页面的 DOM 树, 可以准确判断出个网页的异同由于 SQL 注入导致的变化往往是局部的, 因此本文对基于节点序列的比对方式进行了简化和改进, 不比较 DOM 树的全部节点序列, 仅选取能体现出这些变化的部分关键节点序列进行比对,DOM 树快速比对算法流程如图 5 所示, 具体如下 : (1) 按某种方式遍历棵目标 DOM 树, 分别获取叶子节点标记序列 ( 或名称序列 ) 和到 DOM 树中每个叶子节点的链路标记序列 () 比对棵 DOM 树的相应叶子节点标记序列, 若标记序列相同, 则转到步骤 (3), 若标记序列不相同, 则转到步骤 (5) (3) 进一步验证随机选取序列中包含文本信息的 3 个叶子节点, 依次比对到该叶子节点的链路标记序列是否相同, 若不相同, 则转到步骤 (5), 若都相同, 则转到步骤 (4) (4) 判定 DOM 树相同, 结束图 5 页面 DOM 树快速比对算法流程 4.4 快速比对算法效率分析基于简单树匹配的网页相似性比对算法, 其时间复杂度为 On ( ), 其中,n 为棵待比对 DOM 树中节点数目的最小值虽然文献 [9] 结合 XHTML 文档的特点对该算法进行了改进, 在一定程度上提高了效率, 但仍未达到快速比对的目标, 另外由于该算法采用递归的比对方式, 因此比对过程相对复杂, 开销较大基于节点序列的网页相似性比对算法是将树的匹配转换为节点序列 ( 即字符串 ) 的比对, 具体可采用编辑距离等方式进行比对该算法的时间复杂度也为 On ( ), 其中, n 为棵 DOM 树对应节点序列长度的最小值, 虽然在数量级上与简单树匹配算法相似, 但其实际效率优于简单树匹配算法, 而且在很大程度上节省了空间代价对于结构复杂节点数目较多的目标网页, 采用上述种算法进行比对所花费的时间都很长, 根本无法满足 SQL 注入漏洞检测对时间效率的需求 DOM 树快速比对算法是在节点序列比对算法的基础上进行改进的, 仅对树中的叶子节点序列和部分链路节点标记序列进行比对, 在很大程度上减少了节点的比对次数, 其效率分析具体如下 : 在棵 DOM 树不相同的情况下, 其时间复杂度为 On ( N), 其中,N 为棵 DOM 树中叶子节点数目的最

114 计算机工程 01 年 9 月 0 日小值在 DOM 树相同的情况下, 其时间复杂度为 On ( N) + 3 O( L), 其中,L 为棵 DOM 树待比对链路节点序列长度的最大值, 实际中 O( L ) 的值远小于 On ( ) 与上述种算法相比, 假设叶子节点所占的比例为 t, 那么采用快速比对算法的时间复杂度可减小约 O((1 t) n ), t 值越小, 其效率越高例如, 对于一个包含 76 个节点 68 个叶子节点最大路径长度为 9 的网页 DOM 树来说, 此时 t= 0.46, 其时间复杂度可降低约 75.4%, 大幅减少了比对时间通过上述分析可以看出, 快速比对算法在比对效率上远高于其他几种算法其合理性在于,SQL 注入漏洞检测过程中的网页比对不需要准确详细的比对结果, 只需判断出网页内容是否发生变化即可, 而这些变化一般反映在叶子节点上, 因此, 采用快速比对算法可以高效地得出网页比对结果但由于该算法并未对网页内容进行完全的分析比对, 无法知悉具体的差异, 再加上 Web 站点配置的复杂性, 最终的检测结果存在一定的误判 5 基于网页 DOM 树比对的注入漏洞检测原型系统本文设计的基于网页 DOM 树比对的注入漏洞检测原型系统如图 6 所示, 漏洞检测过程如下 : (1) 获取待检测目标网页的 HTML 文档 () 对 HTML 文档进行规范化预处理, 得到 XHTML 文档 (3) 对该文档进行解析, 构建相应的 DOM 分析树 (4) 将不同 URL 页面的 DOM 树进行比对 (5) 分析比对结果, 得出注入漏洞检测结论图 6 上述 5 个步骤分别对应以下 5 个模块 : (1)HTML 文档获取模块该模块用来获取需要进行比对的待检测目标网页的 HTML 文档, 包括获取正常网页的 HTML 文档和附加了 SQL 注入测试代码执行后返回网页的 HTML 文档在实 [10] 现时, 系统利用了 HTMLParser 工具的 Connection Manager 函数, 从 Web 服务器获取目标页面的 HTML 文档内容 () 页面 HTML 预处理模块该模块主要是对 HTML 文档进行规范化处理, 修复存在缺陷的地方, 转换成语法严谨格式规范的 XHTML 等价文档, 便于下一步解析构造出 DOM 分析树实现时 [11] 使用了 HTML Tidy 预处理工具进行转换, 主要操作包括 : 统一大小写, 检查和纠正缺失或者不匹配的结束标记符, 为结束标记符添加缺失的字符 /, 为所有不带引号的属性值加上引号, 将 URL 地址中的所有 \ 字符换成 / 等 (3) 文档解析模块该模块是对预处理后形成的 XHTML 文档进行解析, 生成 DOM 树, 即根据详细的文档结构嵌套和包含关系等解析构建出目标网页的 DOM 分析树系统实现时利用 HTMLParser 工具的 Parser 函数来解析 XHTML 文档, 构建出 DOM 树, 并对解析函数的功能进行了一定的扩展和补充, 以减少比对误差 (4)DOM 树比对模块该模块对棵目标网页的 DOM 树进行对比分析, 通过比对 DOM 树构成的异同以及节点属性内容等方面的基于页面 DOM 树比对的注入漏洞检测原型系统区别来判断个网页是否存在差异, 并且在比对分析后输出比对结果系统实现时使用了基于 DOM 树节点序列匹配的快速比对算法进行 DOM 树比对 (5) 分析判断模块该模块分析 DOM 树的比对结果并得出最终结论即在 DOM 树比对完毕后分析不同的 SQL 注入检测命令执行后网页的具体变化情况, 再根据检测注入漏洞的方法进行判断, 最后输出注入漏洞检测结果 6 实验及结果分析 6.1 快速比对算法的有效性验证为了验证 4.4 节的分析结果, 从互联网上选取了一个存在 SQL 注入漏洞且规模适中的网页进行比对测试, 该网页对应的 DOM 树有 415 个节点, 其中, 叶子节点数为 134, 最大路径长度为 1, 注入测试后返回的出错网页对应的 DOM 树有 389 个节点, 其中叶子节点数为 119, 最大路径长度为 11 对这组目标 DOM 树分别使用简单树匹配算法序列比对算法和快速比对算法进行相似性比对, 所消耗的时间结果如表 1 所示从中可以看出, 快速比对算法所用的时间大约是简单树匹配算法的 34% 序列比对算法的 39%, 进一步验证了本文算法能有效减少目标 DOM 树的比对时间算法表 1 3 种对比算法的耗时比较消耗时间简单树匹配算法 1 439 序列比对算法 10 583 快速比对算法 4 17 ms

第 38 卷第 18 期张晨, 汪永益, 王雄, 等 : 基于网页 DOM 树比对的 SQL 注入漏洞检测 115 6. 检测系统的有效性验证为了验证本文的 SQL 注入漏洞检测系统的优越性, 首先随机从互联网上提取了大约 1 000 个真实的动态 URL 地址构建出测试样本集具体过程为 : 通过 Google 搜索引擎按一定的搜索语法和关键字进行搜索, 再使用程序抽取出搜索结果中所包含的动态 URL 链接地址, 最后经简单的处理形成测试样本集其所使用的搜索命令越精确, 相应的检测效果就越好 ( 表给出了本次实验中使用不同关键字搜索获取的动态 URL 地址数量 ) 该实验的测试环境为 : (1)CPU 为 Intel Pentium 3.0 GHz; () 内存为 1 GB; (3) 操作系统为 Windows XP SP3; (4) 浏览器为 Firefox3.6; (5) 使用 C# 实现算法及检测程序表使用不同搜索关键字获取的 URL 地址数量所使用的搜索命令及关键字获取的 URL 数目 inurl:as?id= intitle:media 49 inurl:as?id= intext:comany 71 inurl:as?id= intitle:society 37 inurl:as?id= intext:couny 4 接着对获取的 URL 地址测试样本集进行 SQL 注入漏洞检测验证和有效性对比实验, 具体的实验过程为 : 利用本文设计的系统工具对测试样本集中的每个 URL 地址进行 SQL 注入漏洞检测, 根据添加不同注入命令执行后返回的网页与正常网页的异同来判断该 URL 地址是否存在注入漏洞, 并对检测结果的正确性进行手工验证同时为了加以对照分析, 又选取啊 D Domain HDSI 这 3 种常用的 SQL 注入漏洞检测工具, 分别对测试样本集中所有的 URL 地址进行了相同的注入漏洞检测和正确性验证实验, 实验结果如表 3 所示检测工具表 3 不同注入漏洞检测工具检测结果的比较检测出注入漏洞的 URL 地址总数正确数量误判数量正确率 /(%) 平均检测时间 /s 本文工具 138 11 17 87.7.36 啊 D 119 85 34 71.5 0.743 Domain 16 95 31 75.4 0.89 HDSI 107 79 8 73.8 0.851 从上面的结果可以看出, 基于网页 DOM 树快速比对的 SQL 注入漏洞检测工具在检测结果的正确率上明显高于其他几种工具, 不足之处是要付出一定的时间代价总体而言, 本文的比对算法较好地解决了传统注入漏洞检测过程中因使用简单网页比对技术所带来的结果不准确效率不高的问题, 是一种简单高效的网页比对方法 7 结束语 SQL 注入漏洞检测在 Web 应用程序的安全和防御上有着很高的价值, 检测结果的高准确度利于制定出有针对性的高效的解决方案本文将基于网页 DOM 树的快速比对技术应用于 SQL 注入漏洞的检测和判断过程中, 有效提高了检测结果的正确率, 弥补了传统技术手段的缺陷不足的是并未对防注入系统进行分析判断, 对注入检测所产生的错误页面信息也未加以详细的区别和分类处理, 导致网页比对结果存在一定的误报, 在一定的程度上影响了检测结果的正确率下一步要细化系统对 SQL 注入漏洞的检测过程, 提高网页比对的效率, 优化系统功能参考文献 [1] OWASP-To10-010 Document[EB/OL]. [011-11-16]. htt:// www.owas.org/index.h/category:owasp_to_ten_project. [] Clarke J. SQL 注入攻击与防御 [M]. 黄晓磊, 李化, 译. 北京 : 清华大学出版社, 010. [3] Hickson I, Hyatt D. HTML 5: A Vocabulary and Associated APIs for HTML and XHTML[EB/OL]. [011-11-16]. htt://www. w3.org/tr/009/wd-htm15-00901/. [4] 吴恒亮. 基于本体和 DOM 树的 Web 信息抽取技术研究 [J]. 情报学报, 010, 8(7): 1055-1059. [5] Fallside D C, Walmsley P. XML Schema Part 0: Primer nd Edition[EB/OL]. [011-11-13]. htt://www.w3.org/tr/xmlschema -0/. [6] Document Object Model[EB/OL]. [011-11-16]. htt://www. w3.org/dom/. [7] 李冬. 基于 DOM 树的 DeeWeb 实体抽取的研究与实现 [D]. 沈阳 : 东北大学, 008. [8] 黄歆, 桑楠. 基于 DOM 树和递归 X-Y 分割算法的 Zone 树模型 [J]. 计算机工程, 009, 35(5): 53-55. [9] 何昕, 谢志鹏. 基于简单树匹配算法的 Web 页面结构相似性度量 [J]. 计算机研究与发展, 007, 44(z): 1-6. [10] HTML Parser.0[EB/OL]. [011-11-11]. htt://www.sourceforge. net/javadoc/index.html. [11] Raggett D. Clean U Your Web Pages with HTML Tidy[EB/OL]. [011-11-10]. htt://www.w3.org/peole/raggetc/tidy. 编辑张帆

Microsoft Word - 121834.doc