Защита от SQL-инъекций.
Раздел
Программирование
Предмет
Тип
Просмотров
4 301
Покупок
56
Антиплагиат
Не указан
Размещена
13 Окт 2017
в 19:57
ВУЗ
ОмГУ
Курс
6 курс
Стоимость
5 500 ₽
Файлы работы
5
Каждая работа проверяется на плагиат, на момент публикации
уникальность составляет не менее 40% по системе проверки eTXT.
Firewall
client
Диплом
Презентация
Речь Финал
Всего 5 файлов на сумму 5500 рублей
Описание
В дипломной работе рассматриваются методы осуществления SQL-инъекций, а также методы защиты от них. Разработан свой метод борьбы с SQL-инъекциями и реализован фаервол на языке Java для таких баз данных, как: MsSQL Server, MySQL, MariaDB, PostgreSQL. Объем дипломной работы 53 листа. На момент защиты март 2017 года уникальность текста 96.4%. Есть все для успешной защиты: программа, клиент для тестирования программы, диплом, презентация, речь. Программа приведена в соответствие диплому.
Проект программы запускается в IntellijIDEA, client тоже. Для того, чтобы программа подняла порты, нужно запустить ее с правами АДМИНИСТРАТОРА!
Оглавление
Оглавление
Введение 3
Глава 1. Теоретическая часть 6
1.1. Особенности внедрения операторов SQL (SQL Injection) 6
1.1.1. Изменение входных параметров путем добавления в них конструкций языка SQL 7
1.1.2. Внедрение SQL-кода в строковые параметры 8
1.1.3. Использование UNION 10
1.1.4. Экранирование хвоста запроса 16
1.1.5. Расщепление SQL-запроса 17
1.2. Методы защиты от SQL инъекций 17
1.2.1. Фильтрация строковых параметров 19
1.2.2. Фильтрация целочисленных параметров 20
1.2.3. Усечение входных параметров 20
1.2.4. Использование параметризованных запросов 21
1.2.5. Использование принципа наименьших привилегий при предоставлении доступа к базам данных 22
1.3. Особенности операторов SQL в СУБД PostgreSQL, MySQL, MsSQL Server, MariaDB 22
1.4. Анализ существующих реализаций фаервола для баз данных 23
1.5. Основные требования к программе для защиты баз данных от SQL-инъекций 25
1.6. Выбор средств разработки 25
Глава 2. Практическая реализация и тестирование фаервола для защиты СУБД от SQL-инъекций 27
2.1. Построение структуры программы 27
2.2. Практическая реализация прокси-сервера 30
2.3. Разбор пакета клиента 31
2.4. Реализация анализа SQL-запросов 34
2.5. Тестирование фаервола для баз данных 39
2.5.1. Тестирование на качество фильтрации SQL-запросов 40
2.5.2. Тестирование на время выполнения SQL-запросов 44
Заключение 49
Список литературы 50
Приложение А. Время выполнения запросов 51
Введение 3
Глава 1. Теоретическая часть 6
1.1. Особенности внедрения операторов SQL (SQL Injection) 6
1.1.1. Изменение входных параметров путем добавления в них конструкций языка SQL 7
1.1.2. Внедрение SQL-кода в строковые параметры 8
1.1.3. Использование UNION 10
1.1.4. Экранирование хвоста запроса 16
1.1.5. Расщепление SQL-запроса 17
1.2. Методы защиты от SQL инъекций 17
1.2.1. Фильтрация строковых параметров 19
1.2.2. Фильтрация целочисленных параметров 20
1.2.3. Усечение входных параметров 20
1.2.4. Использование параметризованных запросов 21
1.2.5. Использование принципа наименьших привилегий при предоставлении доступа к базам данных 22
1.3. Особенности операторов SQL в СУБД PostgreSQL, MySQL, MsSQL Server, MariaDB 22
1.4. Анализ существующих реализаций фаервола для баз данных 23
1.5. Основные требования к программе для защиты баз данных от SQL-инъекций 25
1.6. Выбор средств разработки 25
Глава 2. Практическая реализация и тестирование фаервола для защиты СУБД от SQL-инъекций 27
2.1. Построение структуры программы 27
2.2. Практическая реализация прокси-сервера 30
2.3. Разбор пакета клиента 31
2.4. Реализация анализа SQL-запросов 34
2.5. Тестирование фаервола для баз данных 39
2.5.1. Тестирование на качество фильтрации SQL-запросов 40
2.5.2. Тестирование на время выполнения SQL-запросов 44
Заключение 49
Список литературы 50
Приложение А. Время выполнения запросов 51
Список литературы
Список литературы
1. Атака SQL Injection[Электронный ресурс]. – Режим доступа URL: https://technet.microsoft.com/ruru/library/ms161953%28v=sql.105%29.aspx (дата обращения 11.10.2016)
2. Противодействие атакам, использующим SQL-инъекции [Электронный ресурс]. – Режим доступа URL: http://www.ibm.com/developerworks/ru/library/se-sql-injection-attacks/ (дата обращения 21.10.2016)
3. Advanced SQL-Injection [Электронный ресурс]. – Режим доступа URL: https://www.ptsecurity.com/upload/corporate/ru-ru/download/PT-devteev-Advanced-SQL-Injection.pdf (дата обращения 16.11.2016)
4. Chris Anley. Advanced SQL Injection In SQL Server Applications. – Next Generation Security Software Ltd. – 2002. – 25 p. [Электронный ресурс]. – Режим доступа URL: http://www.nextgenss.com/papers/advanced_sql_injection.pdf (дата обращения 20.10.2016)
5. FreeTDS Protocol Documentation [Электронный ресурс]. – Режим доступа URL: http://www.freetds.org/tds.html (дата обращения 20.12.2016)
6. MsSQL Server Documentation TDS Protocol [Электронный ресурс]. – Режим доступа URL: https://msdn.microsoft.com/en-us/library/dd358344.aspx (дата обращения 20.12.2016)
7. MySQL Documentation [Электронный ресурс]. – Режим доступа URL: https://dev.mysql.com/doc/ (дата обращения 15.12.2016)
8. Postgres Documentation [Электронный ресурс]. – Режим доступа URL: https://www.postgresql.org/docs/ (дата обращения 18.12.2016)
9. Sqlmap: SQL-инъекции — это просто [Электронный ресурс]. – Режим доступа URL: https://xakep.ru/2011/12/06/57950/ (дата обращения 11.10.2016)
10. SQL-injection в деталях [Электронный ресурс]. – Режим доступа URL: http://xaknotdie.org/22h/12/10.html (дата обращения 11.10.2016)
1. Атака SQL Injection[Электронный ресурс]. – Режим доступа URL: https://technet.microsoft.com/ruru/library/ms161953%28v=sql.105%29.aspx (дата обращения 11.10.2016)
2. Противодействие атакам, использующим SQL-инъекции [Электронный ресурс]. – Режим доступа URL: http://www.ibm.com/developerworks/ru/library/se-sql-injection-attacks/ (дата обращения 21.10.2016)
3. Advanced SQL-Injection [Электронный ресурс]. – Режим доступа URL: https://www.ptsecurity.com/upload/corporate/ru-ru/download/PT-devteev-Advanced-SQL-Injection.pdf (дата обращения 16.11.2016)
4. Chris Anley. Advanced SQL Injection In SQL Server Applications. – Next Generation Security Software Ltd. – 2002. – 25 p. [Электронный ресурс]. – Режим доступа URL: http://www.nextgenss.com/papers/advanced_sql_injection.pdf (дата обращения 20.10.2016)
5. FreeTDS Protocol Documentation [Электронный ресурс]. – Режим доступа URL: http://www.freetds.org/tds.html (дата обращения 20.12.2016)
6. MsSQL Server Documentation TDS Protocol [Электронный ресурс]. – Режим доступа URL: https://msdn.microsoft.com/en-us/library/dd358344.aspx (дата обращения 20.12.2016)
7. MySQL Documentation [Электронный ресурс]. – Режим доступа URL: https://dev.mysql.com/doc/ (дата обращения 15.12.2016)
8. Postgres Documentation [Электронный ресурс]. – Режим доступа URL: https://www.postgresql.org/docs/ (дата обращения 18.12.2016)
9. Sqlmap: SQL-инъекции — это просто [Электронный ресурс]. – Режим доступа URL: https://xakep.ru/2011/12/06/57950/ (дата обращения 11.10.2016)
10. SQL-injection в деталях [Электронный ресурс]. – Режим доступа URL: http://xaknotdie.org/22h/12/10.html (дата обращения 11.10.2016)
Вам подходит эта работа?
Похожие работы
Другие работы автора
500 ₽
700 ₽
1 500 ₽
Предыдущая работа
Следующая работа