SQL注入攻击已经成为Web应用程序最大的安全威胁。二阶SQL注入危害性大,注入点隐秘性高,注入过程复杂,不易检测。二阶SQL注入的攻击载荷来自数据库,针对这一特性,提出在Web服务器和数据库服务器之间添加代理服务器,代理服务器通过Lua脚本监控和修改Web服务器和数据库服务器之间的通讯数据,处理危险数据,保障二次调用的数据安全。对代理服务器的监控和数据修改功能进行改写,添加数据安全处理模块,对来自数据库的数据集中的敏感字符查找替换,将处理过的"安全"数据返回Web服务器,以防御二阶注入漏洞。实验证明,该系统能有效地防御二阶SQL注入,部署方便,成本较低。

• 单位
  淮阴工学院