专利汇可以提供一种数据库对象脚本安全风险的审计方法专利检索,专利查询,专利分析的服务。并且本 发明 涉及信息安全技术,旨在提供一种 数据库 对象脚本安全 风 险的审计方法。该种数据库对象脚本安全风险的审计方法包括下述步骤:扫描数据库的系统表,获取所有用户编写的数据库对象脚本;根据对象脚本构建执行路径树;在执行路径树 跟踪 参数变量,判断参数是否经过过滤,以及参数是否参与数据库操作;列出没有经过过滤,并且参与数据库操作的参数所在对象名、参数名和有风险的行号,形成扫描报告输出。本发明主要对脚本的入口参数进行分析,审计各个参数在执行过程中是否有过滤行为,能发现SQL注入等危害比较大的安全风险。,下面是一种数据库对象脚本安全风险的审计方法专利的具体信息内容。
1.一种数据库对象脚本安全风险的审计方法,其特征在于,具体包括下述步骤:
(1)扫描数据库的系统表,获取所有用户编写的数据库对象脚本;
(2)根据对象脚本构建执行路径树;具体包括下述子步骤:
步骤D:取步骤(1)返回的一个对象的脚本数据;
步骤E:根据语句分割符将脚本整理为语句列表;
步骤F:顺序解析语句列表,将每一条语句解析为操作符、涉及的变量和常量、下一步语句指针三部分;一条语句的三个部分就构成了执行路径树上的一个节点,各个节点通过指针连成一棵树,这棵树就是执行路径树;分支语句与循环语句的下一步指针有多个,通过变量条件判断执行哪一条;
(3)在执行路径树跟踪参数变量,判断参数是否经过过滤,以及参数是否参与数据库操作;具体包括下述子步骤:
步骤G:解析步骤D中所取的对象脚本,获得该脚本的传入参数列表;
步骤H:对步骤F中解析生成的执行路径树,从树上各个节点涉及的变量中,判断传入参数的起始节点,跟踪该传入参数在树中的执行路径,判断该参数是否有参与数据库操作的行为;
将有参与数据库操作的参数和执行路径记录下来,如果脚本有多个传入参数,则通过循环获得各个参与数据库操作的参数的执行路径;
步骤H主要用于过滤掉不参与数据库操作的传入参数;
步骤I:对步骤H获取的参数执行路径的各个节点进行判断是否有参数过滤行为,判断方法是节点的操作符是否包含在过滤关键字列表里;如果一条执行路径里的各个节点都没有参数过滤,那么这条执行路径就被判定是有问题的;
步骤J:循环执行步骤D、步骤E、步骤F、步骤G、步骤H、步骤I,直至完成对步骤(1)返回的所有对象脚本数据进行判断;
(4)列出没有经过过滤,并且参与数据库操作的参数所在对象名、参数名和有风险的行号,即将步骤J中得出的有问题的执行路径对应的参数列出,并显示参数所在的对象名称和参与数据库操作的行号,形成扫描报告输出。
2.根据权利要求1所述的一种数据库对象脚本安全风险的审计方法,其特征在于,所述步骤(1)具体包括下述子步骤:
步骤A:连接数据库;
步骤B:用SELECT语句获取数据库中各个对象的脚本,同时用WHERE语句排除系统对象的脚本,得到用户编写对象的脚本,即获得用户对象脚本列表;
步骤C:将步骤B中获得的用户对象脚本列表按对象类型和所属用户区分排序后返回。
3.根据权利要求1所述的一种数据库对象脚本安全风险的审计方法,其特征在于,所述步骤(1)中,获取的对象脚本是指数据库系统中有调用参数的用户对象的脚本。
4.根据权利要求1所述的一种数据库对象脚本安全风险的审计方法,其特征在于,所述步骤H中,一个脚本参数的执行路径中,只要一条路径有安全风险就认为该参数有安全风险。
5.根据权利要求1所述的一种数据库对象脚本安全风险的审计方法,其特征在于,所述步骤I中用于判断参数是否经过过滤的关键字能用户自定义。
6.根据权利要求1所述的一种数据库对象脚本安全风险的审计方法,其特征在于,所述步骤(4)形成的扫描报告中,根据对象所属的用户定义有不同的危险等级,用于帮助用户更直观的了解脚本中的危险程度,从而优先修复高危的对象脚本。
标题 | 发布/更新时间 | 阅读量 |
---|---|---|
一种输电断面热稳定功率极限区间识别方法及系统 | 2020-05-08 | 992 |
一种考虑间歇性能源的电网生存性评估方法 | 2020-05-08 | 963 |
参考信号资源的分配方法及装置 | 2020-05-11 | 459 |
一种数据库处理方法、装置、存储介质及电子设备 | 2020-05-08 | 738 |
一种K8s平台的资源控制方法、装置及相关组件 | 2020-05-08 | 102 |
一种区块链共识方法、系统、电子设备、存储介质 | 2020-05-08 | 173 |
一种树状Canvas画布的布局处理方法及装置 | 2020-05-08 | 274 |
一种软件编辑微服务的可视化方法及系统 | 2020-05-08 | 795 |
主体关系网络的生成方法和装置、电子设备和存储介质 | 2020-05-08 | 290 |
一种适用于热时效成形的超声波振动子 | 2020-05-08 | 688 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。