Details

Цель дипломной работы заключается в повышении точности обнаружения многоуровневых SQL-инъекций. Предметом исследования являются методы обнаружения таких инъекций на основе модификации и анализа запросов к базе данных на этапе использования сохраненных данных в базе. Задачи, решаемые в ходе исследования: 1. Проанализировать особенности многоуровневых SQL-инъекций и их отличия от стандартных SQL-инъекций. 2. Описать существующие подходы к обнаружению многоуровневых SQL-инъекций, включая их сильные и слабые стороны. 3. Разработать алгоритм обнаружения многоуровневых SQL-инъекций, учитывающую особенности хранения и обработки данных. 4. Реализовать программный прототип алгоритма и оценить его эффективность. В ходе работы были исследованы атаки, основанные на многоуровневых SQL-инъекциях. Были проанализированы современные исследования в области обеспечения безопасности веб-приложений от таких инъекций. В результате работы было разработано средство обнаружения многоуровневых SQL-инъекций на основе модификации стандартных SQL- запросов, также была продемонстрирована эффективность средства. Был сделан вывод, что безопасность веб-приложений от такого рода инъекций мало изучена. Полученные результаты могут быть использованы в качестве основы для проектирования систем обнаружения многоуровневых SQL-инъекций в реальных веб-приложениях.

The purpose of the study is to improve the accuracy of detecting second-order SQL injections. The subject of the work is methods for detecting such injections based on modification and analysis of database queries at the stage of using stored data in the database. Tasks to be solved during the research: 1. To analyze the features of multi-level SQL injections and their differences from standard SQL injections. 2. Describe existing approaches to detecting multi-level SQL injections, including their strengths and weaknesses. 3. To develop the algorithm for detecting multi-level SQL injections, taking into account the specifics of data storage and processing. 4. Implement a software prototype of the algorithm and evaluate its efficiency. In the course of the work, attacks based on multi-level SQL injections were investigated. Modern research in the field of ensuring the security of web applications from such injections was analyzed. As a result of the work, a tool for detecting multi-level SQL injections based on modification of standard SQL queries was developed, and the effectiveness of the tool was also demonstrated. It was concluded that the security of web applications from this kind of injection has been little studied. The results obtained can be used as a basis for designing multi-level SQL injection detection systems in real web applications.