nach oben

Erschienen in:

2017 | OriginalPaper | Buchkapitel

A Mutation Approach of Detecting SQL Injection Vulnerabilities

verfasst von : Yanyu Huang, Chuan Fu, Xuan Chen, Hao Guo, Xiaoyu He, Jin Li, Zheli Liu

Erschienen in: Cloud Computing and Security

Verlag: Springer International Publishing

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config

KI-gestützte Suche

Aus

Abstract

As Internet is increasingly prosperous, Web services become more common in our social life. As users can access pages on the Web directly, Web application plays a vital role in various domains such as e-finance and public-services. Inevitably, it will be followed by unprecedented amount of attacks and exploitations. Amongst all of those attacks, SQL injection attacks have consistently high rank in last years due to corresponding vulnerabilities. It is crucial to checking this vulnerabilities before web services being public. In our paper we present an effective approach for testing, MOSA, and mutation operators set to its underpinning. Using this approach we can produce test inputs that cause executable and malignant SQL statement efficiently. Besides that, we do numerous experiments and the results demonstrate that the mutation approach can detect SQL injection vulnerabilities and generate inputs that bypass web application firewalls.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 102.000 Bücher
über 537 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 390 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Maschinenbau + Werkstoffe

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 340 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Vorheriges Kapitel Reversible Data Hiding in Encrypted Image Based on Block Classification Scrambling

Nächstes Kapitel A Chaotic Map-Based Authentication and Key Agreement Scheme with User Anonymity for Cloud Computing

Appelt, D., Alshahwan, N., Briand, L.: Assessing the impact of firewalls and database proxies on SQL injection testing. In: Vos, T.E.J., Lakhotia, K., Bauersfeld, S. (eds.) FITTEST 2013. LNCS, vol. 8432, pp. 32–47. Springer, Cham (2014). doi:10.1007/978-3-319-07785-7_2

Beery, T., Niv, N.: Web application attack report (2013)

Lee, I., Jeong, S., Yeo, S., Moon, J.: A novel method for SQL injection attack detection based on removing SQL query attribute values. Math. Comput. Model. 55, 58–68 (2012)CrossRefMATHMathSciNet

Balasundaram, I., Ramaraj, E.: An efficient technique for detection and prevention of SQL injection attack using ASCII based string matching. Procedia Eng. 30, 183–190 (2012). SciVerse ScienceDirectCrossRef

Kim, M.-Y., Lee, D.H.: Data-mining based SQL injection attack detection using internal query trees. Expert Syst. Appl. 41, 5416–5430 (2014)CrossRef

Jang, Y.-S., Choi, J.-Y.: Detecting SQL injection attacks using query result size. Comput. Secur. 44, 104–118 (2014). ScienceDirectCrossRef

SQL Injection Wiki: SQL injection cheat sheet. http://www.sqlinjectionwiki.com/

Natarajana, K., Subramanib, S.: Generation of SQL-injection free secure algorithm to detect and prevent SQL-injection attacks. Procedia Technol. 4, 790–796 (2012). SciVerse ScienceDirectCrossRef

Pinzón, C.I., De Paz, J.F., Herrero, Á., Corchado, E., Bajo, J., Corchado, J.M.: idMAS-SQL: intrusion detection based on MAS to detect and block SQL injection through data mining. Inf. Sci. 231, 15–31 (2013)CrossRef

10.

Shar, L.K., Tan, H.B.K., Briand, L.C.: Mining SQL injection and cross site scripting vulnerabilities using hybrid program analysis. In: Proceedings of the 2013 International Conference on Software Engineering, pp. 642–651 (2013)

11.

Appelt, D., Nguyen, C.D., Briand, L.C., Alshahwan, N.: Automated testing for SQL injection vulnerabilities: an input mutation approach. In: Proceedings of the 2014 International Symposium on Software Testing and Analysis, pp. 259–269 (2014)

12.

Xue, P.-C.: SQL injection attack and guard technical research. Procedia Eng. 15, 4131–4135 (2011). SciVerse ScienceDirectCrossRef

13.

Chung, Y.-C., Wu, M.-C., Chen, Y.-C., Chang, W.-K.: A hot query bank approach to improve detection performance against SQL injection attacks. Comput. Secur. 31, 233–248 (2012). SciVerse ScienceDirectCrossRef

14.

Williams, J., Wichers, D.: WASP Top. 10 2013rcl: the ten most critical web application security risks. In: The Open Wep Application Security Project (2013)

Titel: A Mutation Approach of Detecting SQL Injection Vulnerabilities
verfasst von: Yanyu Huang
Chuan Fu
Xuan Chen
Hao Guo
Xiaoyu He
Jin Li
Zheli Liu
Verlag: Springer International Publishing
Buch: Cloud Computing and Security
Print ISBN: 978-3-319-68541-0

Electronic ISBN: 978-3-319-68542-7

Copyright-Jahr: 2017
DOI: https://doi.org/10.1007/978-3-319-68542-7_15

Springer Professional

Abstract

Bitte loggen Sie sich ein, um Zugang zu Ihrer Lizenz zu erhalten.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Springer Professional "Technik"

Springer Professional "Wirtschaft"