SQL注入漏洞挖掘技術研究

摘 要：SQL注入漏洞廣泛存在于Web應用程序中，允許攻擊者在非授權條件下不受限制地訪問Web應用程序所使用的數據庫，對Web應用程序安全構成了嚴重威脅，如何挖掘SQL注入漏洞是網絡安全領域的一個重要研究課題。近年來，圍繞SQL注入漏洞挖掘，形成了多種理論成果和實用工具，為了厘清研究現狀和未來發展方向，本文廣泛調研了相關領域研究進展，對SQL注入漏洞挖掘方面的已有研究成果進行了系統梳理。首先，介紹了SQL注入的基本概念及不同類型SQL注入的攻擊原理；然后，詳細闡述了SQL注入漏洞挖掘技術；最后，總結并討論了SQL注入漏洞挖掘技術的未來發展方向。

關鍵詞：SQL注入漏洞；Web應用程序；數據庫；SQL注入漏洞挖掘技術；靜態分析；動態分析；機器學習

中圖分類號：TP393 文獻標識碼：A 文章編號：2095-1302（2024）03-00-04

0 引 言

Web 應用程序在社會生活中扮演著極其重要的角色，被廣泛應用于數字政務、社交平臺、購物網站、在線教育、網上銀行、遠程辦公等領域。存在于Web應用程序的漏洞可以被攻擊者利用開展數據竊取、拒絕服務、獲取權限等攻擊，給社會穩定和個人信息安全帶來了嚴重威脅。SQL注入漏洞是數量最多、影響范圍最廣的Web應用漏洞之一，圖1顯示了2013年以來國家信息安全漏洞共享平臺（China National Vulnerability Database， CNVD）收錄的SQL注入漏洞數量，可以看出整體的趨勢是不斷增長的，從2013年到2021年，收錄的SQL注入漏洞數量增長了5倍[1]。開放式Web應用程序安全項目（Open Web Application Security Project， OWASP）在2013年和2017年發布的Web安全漏洞Top10中顯示，注入類漏洞危害程度排名第一[2]，其中SQL注入漏洞是注入漏洞中最主要的一類漏洞。因此，如何挖掘SQL注入漏洞是網絡安全研究者關注的重要課題。

近年來，國內外學者針對SQL注入漏洞做了大量研究， SQL注入漏洞挖掘通過對Web應用程序注入點進行漏洞檢測，及時發現并修復漏洞，從而防止攻擊者利用SQL注入漏洞實施攻擊。傳統的SQL注入漏洞挖掘技術根據技術特點可以分為靜態分析方法和動態分析方法。隨著機器學習方法的快速發展，研究者將機器學習應用到SQL注入漏洞挖掘中，出現了基于機器學習的SQL注入漏洞挖掘技術，提高了漏洞挖掘的精準度。

本文廣泛調研了SQL注入漏洞挖掘技術研究進展，對已有研究成果進行了系統梳理。首先介紹了SQL注入的基本概念、不同類型SQL注入的攻擊原理以及SQL注入的危害；然后詳細闡述了SQL注入漏洞挖掘技術；最后展望了SQL注入漏洞挖掘技術的未來發展方向。

1 SQL注入概述

SQL注入是一種常見的數據庫攻擊手段：攻擊者通過在Web表單的用戶輸入框中填寫包含SQL關鍵字的數據來使數據庫執行非常規代碼，從而可以非法且不受限制地訪問存儲在后端數據庫中的數據[3]。本節首先介紹SQL注入攻擊流程，然后根據攻擊原理對SQL注入進行分類介紹，最后說明SQL注入的危害。

1.1 SQL注入攻擊流程

攻擊者將惡意的SQL代碼插入到SQL查詢語句中，之后再將這些特殊的SQL查詢語句傳遞給后臺的數據庫服務器加以解析并執行，最終返回攻擊者想要得到的信息[3]。

圖2顯示了 SQL注入攻擊流程。

一次成功的SQL注入攻擊，必須要滿足三個條件：一是找到SQL注入點，并能夠注入惡意查詢語句；二是程序對用戶的輸入并沒有嚴格的檢查和過濾；三是惡意的查詢語句會被數據庫正常執行，并返回攻擊者想要的數據庫信息[3]。

1.2 SQL注入類型

根據攻擊原理不同，SQL注入可以分為永真式攻擊、推理式攻擊、堆疊注入攻擊、存儲階段攻擊和編碼攻擊[3]。

永真式攻擊：通過構造SQL查詢條件始終為真，導致后臺的身份驗證條件無效，從而達到繞過服務器驗證的目的。例如：SELECT * FROM users WHERE name= 'admin' OR '1'='1'，攻擊者利用OR '1' ='1'使得查詢表達式永遠為真，導致程序對查詢條件的判斷失去作用，從而非法獲取數據。

推理式攻擊：當網站的安全性較高，數據庫錯誤消息不會通過前端為攻擊者提供反饋時，攻擊者必須使用不同的方法從數據庫獲得響應。在這種情況下，攻擊者將命令注入網站，然后通過觀察網站功能的變化情況和變化的時間快慢來推斷數據庫的一些參數。主要有兩種方式：一種是布爾盲注，通過向服務器提出對錯問題，從頁面的反應中推斷出信息。如果注入的語句評估為true，網站正常運行；如果語句的評估結果為1，雖然沒有描述性的錯誤消息，但該頁面與正常運行的頁面也有很大的不同。另一種是時間盲注，將時間延遲函數插入到SQL查詢語句中，通過觀察Web應用程序的響應是否有延遲來判斷注入是否成功。

堆疊注入攻擊：在這種攻擊類型中，攻擊者利用“；”在原有查詢中插入附加查詢。在“；”后面加入構造好的查詢，相當于執行多條SQL語句，例如：“SELECT * FROM users WHERE name='admin'；DELETE FROM users；”。但是這類攻擊實現的前提是數據庫允許在單個字符串中包含多條語句。如果不允許，則攻擊很難實現。

存儲階段攻擊：許多數據庫都有內置的存儲過程。攻擊者使用惡意SQL注入代碼執行這些內置函數，從而進行一些非法操作。當正常的SQL語句被創建為存儲過程時，攻擊者可以注入另一個存儲過程作為替代，以執行特權升級、遠程命令等惡意操作。

編碼攻擊：編碼攻擊不是一種獨立的攻擊方法，但它可以幫助上述方法逃脫過濾器。一些網站會通過過濾特定關鍵字來對用戶輸入進行過濾，攻擊者可以改變這些關鍵字的編碼方式從而達到逃避檢測的效果，例如使用十六進制、ASCII和Unicode字符編碼。一般情況下，檢測技術無法過濾關鍵字的所有編碼形式，從而導致過濾失敗。這種攻擊方式很難完全防御，因為它要求開發人員考慮所有可能的編碼，這在實踐中并不可行。動態SQL語句是在執行過程中構造的，它根據不同的條件產生不同的SQL語句。Web應用程序廣泛使用動態SQL語句是為了增加應用的靈活性和通用性，同時也給開發人員帶來了便利，但是這也帶來了安全隱患：沒有經過驗證的輸入會使得動態SQL語句存在SQL注入的風險[4]。

1.3 SQL注入危害

攻擊者利用SQL注入獲取Web應用程序數據庫中的大量數據，從而實現一些惡意目的，給程序安全造成極大威脅。具體危害主要有以下四方面：

（1）數據泄露導致用戶隱私信息泄露；

（2）攻擊者通過SQL注入獲得了數據庫管理員權限，可能對數據庫進行惡意操作，例如篡改數據、刪除數據，甚至直接刪庫；

（3）通過操作數據庫對網頁內容進行篡改，發布一些違規信息；

（4）在滿足條件的情況下可以直接向服務器寫入木馬，獲取服務器權限。

2 SQL注入漏洞挖掘技術

SQL注入漏洞挖掘技術通過對Web應用程序進行分析，發現并修復潛在的SQL注入漏洞，從而防御SQL注入攻擊。傳統的SQL注入漏洞挖掘技術按照是否運行目標程序可以分為基于靜態分析的漏洞挖掘技術和基于動態分析的漏洞挖掘技術[5]。近年來，以深度學習和神經網絡為代表的機器學習成為網絡安全領域的研究熱點，機器學習經常被用于減少靜態源代碼分析的誤報率，提高動態惡意數據生成的效率，從而提高SQL注入漏洞的挖掘效果。因此，本節按照是否應用機器學習將SQL注入漏洞挖掘技術分為傳統SQL注入漏洞挖掘技術和基于機器學習的SQL注入漏洞挖掘技術。

2.1 傳統SQL注入漏洞挖掘技術

傳統SQL注入漏洞挖掘技術主要包括基于靜態分析的漏洞挖掘技術和基于動態分析的漏洞挖掘技術。其中，基于靜態分析的漏洞挖掘技術是在不運行Web應用的方式下進行的一種代碼分析技術； 基于動態分析的漏洞挖掘技術需要為Web應用程序構建適當的代碼執行環境，然后在Web應用程序成功運行的前提下進行。由于實施原理不同，分類進行介紹可以更好地講清楚兩種漏洞挖掘技術的特點、優勢以及局限性。

2.1.1 基于靜態分析的SQL注入漏洞挖掘技術

靜態分析方法指的是在不執行Web應用程序代碼的前提下對其進行分析，主要借助于抽象語法樹、控制流程圖、調用流程圖等代碼語法語義特征，根據漏洞的特征進行匹配從而發現漏洞[6]。

Medeiros等人[7]提出了一種名為WAP的漏洞檢測方法，該方法主要利用代碼分析和靜態污點分析。主要有兩個步驟：一是通過代碼分析，獲取從污染源到易被感染的執行點之間的代碼切片；二是使用靜態污點分析方法分析用戶輸入的數據是否會不經過過濾便到達易被感染的執行點，從而檢測出漏洞。但是由于該技術不支持上下文，在遇到別名問題時出現的誤報比較多。

Livshits等人[8]針對別名問題提出了一種解決思路，該技術根據用戶提供的漏洞規范，通過靜態分析在Web應用程序代碼中找到與規范匹配的所有漏洞，并且改進對象命名方案給出了解決別名問題的方案，實驗結果也證明該方案有效，減少了由于別名問題導致的假陽性數量。

Wang等人[9]提出了一種稱為SPINNER的SQL注入漏洞檢測技術。當前的靜態分析方法中，根據邏輯順序可分為前向分析和后向分析。前向分析即從污點源追蹤污點到執行點，這種方式容易導致過度污染；后向分析即從命令執行API的參數追溯變量的來源，這種方式由于復雜的數據依賴關系比較困難，容易導致污染不足。該系統開發了一種雙向分析方式，它結合了前向靜態分析技術和后向靜態分析技術，從而降低兩種方式的局限性。但是這種檢測方式結合了兩種不同方式，也隨之增加了額外的開銷，這是該系統明顯的局限性。

尤楓等人[10]提出一種可以減少系統開銷的方案，即用 Chopping切片技術對代碼進行切片分析的方法。首先對源代碼進行詞法和語法分析并轉換成依賴圖，然后通過 Chopping切片規則獲取含有SQL注入的疑似路徑，自動生成攻擊向量并提交運行結果進行驗證。但是這種方法在應用程序規模較大時，系統依賴圖規模隨之變得龐大且復雜，不利于切片獲取。

靜態分析方法無需執行目標程序，不受制于程序的特定運行環境，且能夠對代碼進行全覆蓋分析，但是不能很好地處理Web應用語言的動態特性，會引入較高的誤報率；其次，靜態污點分析需要對整個源程序的依賴關系進行梳理，導致系統開銷比較大[11]。

2.1.2 基于動態分析的SQL注入漏洞挖掘技術

動態分析技術需要實際執行程序，搭建完程序運行環境后，在程序成功運行的前提下進行調試、模糊測試、模擬攻擊等，最后根據輸出結果挖掘相關漏洞。在動態分析技術中，測試用例是一個關鍵性問題，如何提升測試用例的質量成為需要研究人員重點考慮的研究方向。

Wang等人[12]針對測試用例匱乏的問題提出一種改進方案，先利用增廣攻擊樹構建出測試用例的生成模型，然后利用模型批量生產測試用例。雖然該方法有效解決了測試用例短缺的問題，但是這些測試用例的準確性卻無法得到保障。

田偉[13]提出一種改進測試用例準確性的方案。在Wang等人[12]的方法思路基礎上，提出了模型驅動的測試用例生成方法，根據不同的運行環境構建不同的模型，既能達到批量生產測試用例的效果，又具備了一定的精確性。但是該方法的短板也很明顯，模型根據運行環境定制，無法拓展延伸。

成曉利[14]針對測試用例生成偏差大導致檢測效率低的問題，通過對SQL注入漏洞進行等級劃分；再針對不同的等級設計不同的測試用例，通過分級操作有效提高檢測效率。

Boyd等人[15]提出了一種基于模擬攻擊的漏洞挖掘方法，該方法實現了一個SQL注入漏洞掃描器，由爬蟲面板、參數測試面板、漏洞利用面板、報告生成面板組成。爬蟲面板利用網絡爬蟲爬取網頁和Web應用程序，獲得網頁源碼和Web應用程序源碼；然后使用字符串匹配算法從剛剛獲取的源碼文件中提取相應參數，由參數測試面板對參數進行測試，如果測試結果顯示存在漏洞的可能性，就通過漏洞面板進一步挖掘漏洞；最后由報告面板生成報告。

動態分析方法能夠對程序的屬性進行分析，精確定位漏洞代碼，誤報率低，但是動態分析無法像靜態分析那樣對整個源代碼進行審查，單一的執行路徑也容易導致路徑覆蓋不全面，容易出現漏報的問題；其次，動態分析往往對執行環境有要求，為不同項目搭建不同的運行環境不適用于大型程序。

2.2 基于機器學習的SQL注入漏洞挖掘技術

鑒于傳統的SQL注入漏洞挖掘技術的不足，提出一種能夠自主學習、精確度高并且對實施環境要求不高的漏洞挖掘技術十分必要。在當今機器學習與大數據的環境下，從數據中可以發現許多有效信息，基于機器學習的SQL注入漏洞挖掘技術就是利用機器學習算法自主學習大量漏洞數據，從海量數據中提取出漏洞代碼段特征，更深層次地理解代碼語義，然后對SQL注入漏洞進行挖掘。

Shi等人[16]提出一種利用機器學習強大的自我學習能力進行漏洞挖掘的方法，該方法利用機器學習的算法自動學習SQL語句結構，并構建一個安全語句知識庫；在檢測漏洞時，利用規則匹配的原理，通過對比知識庫中的SQL語句從而發現SQL注入漏洞。

Zhang[17]提出了一種使用深度學習算法識別SQL注入漏洞的方法。該方法提取的特征主要包括三組：文件是否包含輸入驗證和清理的屬性、文件定義的所有功能（某些項目可能定義自己的驗證和清理方法）和特征的上下文，然后使用多種機器學習算法和三組特征來訓練分類器，最終達到識別源代碼文件中SQL注入漏洞的效果。

郭寧[18]提出了一種改進利用深度學習挖掘SQL注入漏洞的方法。該方法主要有兩個方面：一是利用字節碼進行特征提取，由于字節碼是中間語言，因此通過向量轉換可以去除源代碼中的冗余字符避免過度擬合；二是以LSTM算法模型為基礎構建神經網絡。該方案不僅利用深度學習模型提升了漏洞挖掘的精確性，還有效緩解了過度擬合的問題。

基于機器學習的SQL注入漏洞挖掘技術有效提升了漏洞挖掘的精準度，并且不需要搭建環境，但是仍然存在一些問題：一是基于機器學習的方式嚴重依賴于預定義特征的準確性；二是數據集對基于機器學習的方法來說非常重要，目前仍然缺乏高質量且大數量的數據集[19]；三是跨項目的問題，不同項目的開發環境不同，使用的開發框架也不相同，導致漏洞特征也不相同，因此某個Web應用程序的漏洞代碼并不能作為另一個應用程序的機器學習的訓練樣本。

3 SQL注入漏洞挖掘技術研究展望

如今，隨著各種網絡攻擊入侵技術的不斷更新，SQL注入形式也不斷翻新，導致越來越難以防御。經過多年的研究，在傳統的SQL注入漏洞挖掘技術方面取得了顯著進展，積累了豐富的理論知識，但是受制于工作原理，在面對新型的SQL注入時效果并不理想。隨著人工智能技術的興起，研究人員將機器學習技術結合到SQL注入漏洞挖掘技術中，并取得了顯著成果，但是SQL注入變化較多，如何結合機器學習依然是一個開放性問題，面臨著諸多挑戰，并且基于機器學習的方法還存在模型選擇難、缺乏統一評估標準等弊端。結合近幾年的研究趨勢，SQL注入漏洞挖掘技術可以從以下幾個方向展開研究。

3.1 規范化數據集建設

對于基于機器學習的SQL注入漏洞挖掘技術而言，需要對應數據集來進行訓練數據集的構建。數據集就是具有漏洞的Web應用程序代碼，然而現實中通常一款Web應用程序存在漏洞的數量并不足以支撐機器學習所需。因此當前需要一個統一的數據集，從而方便研究人員進行相應的訓練數據集的構建，并便于對機器學習模型的效果進行比較。

3.2 面向平臺技術革新

隨著物聯網、云計算、大數據等技術的發展，對SQL注入漏洞挖掘技術的研究已經由傳統Web應用程序向新技術設施平臺擴展。首先無論是物聯網，還是云設備，亦或是其他大數據存儲設備，相比于傳統Web應用程序數據庫，數據量更大、流量更多，為了應對這些變化，SQL注入漏洞挖掘技術的性能需要進一步提升，實現功耗更低、實時性更強；其次，伴隨新平臺出現的還有新型SQL注入漏洞，以往的SQL注入漏洞挖掘技術能否應對依然存疑，因此針對新平臺的特點開發新的SQL注入漏洞挖掘技術也是當前需要關注的重要研究方向。

3.3 跨項目開展漏洞挖掘

目前跨項目的問題阻礙了機器學習在漏洞挖掘方面的應用。由于各類Web應用程序的開發環境不同，使用的開發框架也不同，導致不同Web應用程序上漏洞的特征和分布也不同，不具備共性使得某個Web應用程序的漏洞代碼并不能作為另一個Web應用程序機器學習的訓練樣本。遷移學習算法可能會在一定程度上解決上述問題，尋找幾個類似的項目將它們存在的漏洞綜合起來作為數據集進行訓練，然后通過得到的模型對相應的Web應用程序進行預測。結合遷移學習解決跨項目帶來的漏洞數據少的問題也是未來的研究重點。

4 結 語

SQL注入漏洞是Web應用程序中數量最多、影響范圍最廣的安全漏洞之一，對網絡安全造成了嚴重威脅，如何挖掘SQL注入漏洞是安全領域重點關注的研究方向。本文首先介紹了SQL注入的基本概念及不同類型SQL注入的攻擊原理；然后，詳細闡述了SQL注入漏洞挖掘技術；最后，總結并討論了SQL注入漏洞挖掘技術的未來發展方向。

參考文獻

[1] CNVD.漏洞列表[EB/OL]. （2021-12-31）[2022-10-06]. https：//www.cnvd.org.cn/flaw/list？flag=true.

[2] OWASP. The open web application security project [EB/OL]. [2022-10-06]. http：//www.owasp.org.cn/OWASP-CHINA/owasp-project/OWASPTop102017v1.1.pdf.

[3] CLARKE J. SQL注入攻擊與防御[M]. 2版.施宏斌，譯.北京：清華大學出版社，2014.

[4] CSDN. What is an SQL injection attack？ The harm and protection of SQL injection attack [EB/OL]. （2021-05-26）[2022-10-06]. https：//blog.csdn.net/qq_2213188715/article/details/117290807.

[5]劉祎璠. 基于靜態分析的SQL注入漏洞檢測方法研究[D].長沙：湖南大學，2015.

[6]胡建偉，趙偉，閆崢，等.基于機器學習的SQL注入漏洞挖掘技術的分析與實現[J].信息網絡安全，2019，19（11）：36-42.

[7] MEDEIROS I，NEVES N，CORREIA M. Detecting and removing Web application vulnerabilities with static analysis and data mining [J]. IEEE transactions on reliability，2015，65（1）：54-69.

[8] LIVSHITS V B，LAM M S. Finding security vulnerabilities in java applications with static analysis [C]// Proceedings of the 14th conference on USENIX Security Symposium. Baltimore，USA：USENIX Association，2005，14：18.

[9] WANG M，JUNG C，AHAD A，et al. Spinner： automated dynamic command subsystem perturbation [C]// Proceedings of the 2021 ACM SIGSAC Conference on Computer and Communications Security. [S.l.]：ACM，2021：1839-1860.

[10]尤楓，馬金慧，張雅峰.基于Chopping的Web應用SQL注入漏洞檢測方法[J].計算機系統應用，2018，27（1）：86-91.

[11] JOHNSON B，SONG Y，MURPHY-HILL E，et al. Why don't software developers use static analysis tools to find bugs？ [C]// 2013 35th International Conference on Software Engineering（ICSE）. San Francisco，CA，USA：IEEE，2013：672-681.

[12] WANG J，PHAN R C W，WHITLEY J N，et al. Augmented attack tree modeling of SQL injection attacks [C]// 2010 2nd IEEE International Conference on Information Management and Engineering. Chengdu，China ：IEEE，2010：182-186.

[13]田偉. 模型驅動的Web應用SQL注入安全漏洞滲透測試研究[D].天津：南開大學，2012.

[14]成曉利. Web應用SQL注入漏洞測試系統的研究與實現[D]. 成都：西南交通大學，2013.

[15] BOYD S W，KEROMYTIS A D. SQLrand： preventing SQL injection attacks [C]// International Conference on Applied Cryptography and Network Security. Berlin，Heidelberg：Springer，2004：292-302.

[16] SHI C，ZHANG T，YU Y，et al. A new approach for SQL-injection detection [M]// Instrumentation，Measurement，Circuits and Systems. Berlin，Heidelberg：Springer，2012：245-254.

[17] ZHANG K. A machine learning based approach to identify SQL injection vulnerabilities [C]// 2019 34th IEEE/ACM International Conference on Automated Software Engineering（ASE）. San Diego，CA，USA：IEEE，2019：1286-1288.

[18]郭寧. 基于深度學習的漏洞挖掘關鍵技術研究[D].北京：北京郵電大學，2020.

[19]白鑫玉. SQL注入攻擊檢測技術研究[D].北京：北京交通大學，2021.