ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
TRẦN QUANG CHUNG
CHỐNG TẤN CÔNG SQL INJECTION
SỬ DỤNG CÁC KHUÔN MẪU TỔNG QUÁT
LUẬN VĂN THẠC SĨ AN TOÀN THÔNG TIN
Hà Nội – 11/2019
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
TRẦN QUANG CHUNG
CHỐNG TẤN CÔNG SQL INJECTION
SỬ DỤNG CÁC KHUÔN MẪU TỔNG QUÁT
Ngành: An toàn thông tin
Chuyên ngành: An toàn thông tin
Mã số: 8480102.01
LUẬN VĂN THẠC SĨ AN TOÀN THÔNG TIN
NGƯỜI HƯỚNG DẪN KHOA HỌC:
TS. NGUYỄN ĐẠI THỌ
Hà Nội – 11/2019
1
MỤC LỤC
CHƯƠNG 1 TỔNG QUAN VỀ TẤN CÔNG TIÊM NHIỄM SQL.................. 12
1.1. Khái niệm tấn công tiêm nhiễm SQL ................................................ 12
1.2. Phân loại tấn công tiêm nhiễm SQL .................................................. 13
1.2.1. Order Wise. ...................................................................................... 14
1.2.2. Blind SQL Injection ......................................................................... 15
1.2.3. Against Database .............................................................................. 16
1.3. Các phương pháp ngăn chặn tấn công tiêm nhiễm SQL .................... 18
1.4. Kết chương ....................................................................................... 21
CHƯƠNG 2: MỘT SỐ PHƯƠNG PHÁP CHỐNG TẤN CÔNG TIÊM NHIỄM
SQL SỬ DỤNG KHUÔN MẪU TỔNG QUÁT ............................................... 23
2.1. Phương pháp chống tấn công tiêm nhiễm SQL sử dụng các khuôn mẫu
hợp lệ theo bối cảnh, SDriver ......................................................................... 23
2.1.1. Kiến trúc của SDriver ....................................................................... 23
2.1.2. Cách thức hoạt động của SDriver ..................................................... 24
2.1.3. Stack trace ........................................................................................ 26
2.2. SDriver cải tiến của luận văn Thạc sỹ Nguyễn Thanh Liêm .............. 30
2.2.1. Những lỗ hổng trong SDriver ........................................................... 30
2.2.2. SDriver cải tiến của luận văn Nguyễn Thanh Liêm ........................... 34
2.3. Kết chương ....................................................................................... 35
CHƯƠNG 3: ĐỀ XUẤT CỦA CHÚNG TÔI ................................................... 37
3.1. Phân tích hoạt động của SDriver cải tiến ........................................... 37
3.2. Giải thuật đề xuất .............................................................................. 38
3.2.1. Cơ chế hoạt động mới ....................................................................... 39
3.2.2. Triển khai giải thuật đề xuất ............................................................. 41
3.3. Mô phỏng thực nghiệm giải thuật đề xuất ......................................... 42
3.4. Đánh giá hoạt động giải thuật đề xuất ............................................... 48
3.4.1. Đánh giá về chi phí ........................................................................... 48
3.4.2. Đánh giá về độ chính xác ................................................................. 49
3.4.3. Một số hạn chế ................................................................................. 51
2
3.5. Kết chương ....................................................................................... 51
KẾT LUẬN ...................................................................................................... 52
TÀI LIỆU THAM KHẢO ................................................................................ 53
3
LỜI CAM ĐOAN
Tôi xin cam đoan đây là công trình nghiên cứu của cá nhân tôi dưới sự
hướng dẫn của TS. Nguyễn Đại Thọ. Những kết quả nghiên cứu được trình bày
trong luận văn là hoàn toàn trung thực, của tôi, không vi phạm bất cứ điều gì
trong luật sở hữu trí tuệ và pháp luật Việt Nam. Mọi tài liệu tham khảo đều được
tôi trích dẫn nguồn đầy đủ.
Hà Nội, ngày… tháng… năm
Học viên
Trần Quang Chung
