資料庫系統的交互頁面控制裝置的製作方法
2023-09-15 17:45:15
專利名稱:資料庫系統的交互頁面控制裝置的製作方法
技術領域:
本發明涉及資料庫系統的安全技術,尤其涉及資料庫系統的交互頁面控制裝置。
背景技術:
隨著計算機技術的發展,攻擊資料庫系統的手段也越來越高明。有時,攻擊者會仔 細分析資料庫系統設計中的一些小細節,從中發現系統存在的漏洞並發起攻擊。目前,經常被利用的漏洞包括如下的幾種1)包含有詳細錯誤信息的錯誤頁面開發人員關注於實現功能,而攻擊者關注於錯誤條件。通過向資料庫系統輸入各 種非預期信息,攻擊者嘗試引發某些類型的錯誤行為,往往這些錯誤行為的報錯頁面中會 包含很多的詳細錯誤信息,由此攻擊者獲得更多關於資料庫系統的內部工作信息,並最終 幫助他們發現安全漏洞。例如,ASP. NET每次出現未處理的錯誤時,就會生成顯示詳細錯誤信息的頁面。頁 面包括非常敏感的數據。儘管這些信息在開發過程中非常有用,但開發人員絕對不能,也不 希望在最終產品中把這些信息暴露給客戶端。2)腳本注入和腳本攻擊本質上所有的腳本注入和跨站點腳本攻擊都是由輸入驗證的缺陷導致。假若驗證 所有來自非信任源的數據,則所有的這些攻擊都是可預防的。
發明內容
針對上述的問題,本發明提出一種資料庫系統的交互頁面控制裝置。該資料庫系統的交互頁面控制裝置包括交互頁面產生模塊和後臺處理模塊,其 中交互頁面產生模塊產生資料庫系統的交互頁面,交互頁面包括輸入接收頁面和輸 出響應頁面,輸入接收頁面提供輸入接口接收輸入數據,輸入數據經後臺處理模塊進行安 全驗證和處理後提供給資料庫系統進行處理,輸出響應頁面根據後臺處理模塊或者資料庫 系統處理的結果而產生;後臺處理模塊包括格式驗證模塊、代碼替換模塊、代碼編碼模塊和錯誤頁面產生 模塊,其中,格式驗證模塊驗證輸入數據的格式,對於符合格式規定的輸入數據產生通過信 號,對於不符合格式規定的輸入數據產生拒絕信號並提供給錯誤頁面產生模塊;代碼替換模塊掃描輸入數據,將規定的代碼替換成替換符;代碼編碼模塊連接到代碼替換模塊,對經過代碼替換模塊處理的數據數據進行代 碼編碼,將能夠執行代碼編碼後輸入數據提供給資料庫系統,將不能執行代碼編碼的數據 數據提供給錯誤頁面產生模塊;錯誤頁面產生模塊連接到格式驗證模塊和代碼編碼模塊,產生統一的錯誤頁面提供給交互頁面產生模塊,作為輸出響應頁面。在一個實施例中,代碼替換模塊替換的規定的代碼包括「 {」、「} 」、「 [」、「] 」和「&」,替換符為空格。採用本發明的技術方案,提供統一的錯誤頁面,避免了在錯誤頁面中透露過多的 敏感信息,同時,通過格式驗證、代碼替換和代碼編碼,有效防止了腳本注入和腳本攻擊帶 來的威脅。
圖1揭示了根據本發明的資料庫系統的交互頁面控制裝置的結構圖。
具體實施例方式本發明提出了一種資料庫系統的交互頁面控制裝置,包括交互頁面產生模塊10 和後臺處理模塊20,其中交互頁面產生模塊10產生資料庫系統的交互頁面,交互頁面包括輸入接收頁面 和輸出響應頁面,輸入接收頁面提供輸入接口接收輸入數據,輸入數據經後臺處理模塊20 進行安全驗證和處理後提供給資料庫系統進行處理,輸出響應頁面根據後臺處理模塊或者 資料庫系統處理的結果而產生。比如,正常處理的輸入數據會由資料庫處理系統處理之後 得到處理結果,該處理的結果作為輸出響應頁面,而被拒絕的輸入數據則由後臺處理模塊 20中的錯誤頁面產生模塊204產生錯誤頁面作為輸出響應頁面。後臺處理模塊20包括格式驗證模塊201、代碼替換模塊202、代碼編碼模塊203和 錯誤頁面產生模塊204。格式驗證模塊201驗證輸入數據的格式,對於符合格式規定的輸入數據產生通過 信號,對於不符合格式規定的輸入數據產生拒絕信號並提供給錯誤頁面產生模塊204。在一 個實施例中,格式驗證模塊201實現如下通過正則表達式和RegularExpression Validator控制項實現 當RegularExpression Validator控制項驗證用戶的輸入不符合正則表達式規定, 就會阻止用戶的輸入,並通過ErrorMessage告知用戶錯誤信息。代碼替換模塊202掃描輸入數據,將規定的代碼替換成替換符。收到來自非信任 源的不恰當輸入時,並不一定要拒絕該輸入。在這種情況下,篩選輸入是最好的辦法。例如, 可以藉此篩選出諸如「 {」、「}」、「 [」、「] 」和「&」這樣的一些特殊字符。要實現篩選輸入功 能,可以使用Mring對象的R印Iace方法。例如在一個實施例中,代碼替換模塊202實現如下string a = TextBox4.Text;a = a.Replace("{",""); a = a.Replace(">","");myGStudent.std_hobby = a;上面的代碼淘汰了用戶輸入中的「{」和「}」字符,改用空格代替。在替他的實施 例中,可以使用空格代替「 {」、「} 」、「 [ 」、「 ],,或者「&,,。代碼編碼模塊203連接到代碼替換模塊202,對經過代碼替換模塊202處理的數 據數據進行代碼編碼,將能夠執行代碼編碼後輸入數據提供給資料庫系統,將不能執行代 碼編碼的數據數據提供給錯誤頁面產生模塊204。有時,經過格式驗證模塊201和代碼替 換模塊202處理的輸入數據可能也包含非法的字符,因為驗證不是對所有的用戶輸入都是 可行的。例如,在一個搜索欄位中,用戶可以鍵入所要查找的任何內容,包括腳本標記(例 如〈script 、腳本命令(例如alert)或HTML標記(例如實現過程並不複雜。現在當系統出現未處理的錯誤時,就會調用指定頁「error, aspx"顯示給用戶。這樣系統就能避免遭到惡意錯誤信息的攻擊。採用本發明的技術方案,提供統一的錯誤頁面,避免了在錯誤頁面中透露過多的 敏感信息,同時,通過格式驗證、代碼替換和代碼編碼,有效防止了腳本注入和腳本攻擊帶 來的威脅。
權利要求
1.一種資料庫系統的交互頁面控制裝置,其特徵在於,包括交互頁面產生模塊和後臺 處理模塊,其中交互頁面產生模塊產生資料庫系統的交互頁面,所述交互頁面包括輸入接收頁面和輸 出響應頁面,所述輸入接收頁面提供輸入接口接收輸入數據,所述輸入數據經後臺處理模 塊進行安全驗證和處理後提供給資料庫系統進行處理,所述輸出響應頁面根據後臺處理模 塊或者資料庫系統處理的結果而產生;後臺處理模塊包括格式驗證模塊、代碼替換模塊、代碼編碼模塊和錯誤頁面產生模塊, 其中,格式驗證模塊驗證所述輸入數據的格式,對於符合格式規定的輸入數據產生通過信 號,對於不符合格式規定的輸入數據產生拒絕信號並提供給錯誤頁面產生模塊; 代碼替換模塊掃描所述輸入數據,將規定的代碼替換成替換符; 代碼編碼模塊連接到代碼替換模塊,對經過代碼替換模塊處理的數據數據進行代碼編 碼,將能夠執行代碼編碼後輸入數據提供給所述資料庫系統,將不能執行代碼編碼的數據 數據提供給錯誤頁面產生模塊;錯誤頁面產生模塊連接到格式驗證模塊和代碼編碼模塊,產生統一的錯誤頁面提供給 交互頁面產生模塊,作為輸出響應頁面。
2.如權利要求1所述的資料庫系統的交互頁面控制裝置,其特徵在於,所述代碼替換模塊替換的規定的代碼包括「 {」、「} 」、「 [」、「] 」和「&」,替換符為空格。
全文摘要
本發明提出一種資料庫系統的交互頁面控制裝置,包括交互頁面產生模塊和後臺處理模塊,其中交互頁面產生模塊產生資料庫系統的交互頁面,交互頁面包括輸入接收頁面和輸出響應頁面;後臺處理模塊包括格式驗證模塊、代碼替換模塊、代碼編碼模塊和錯誤頁面產生模塊,其中,格式驗證模塊驗證輸入數據的格式,對於不符合格式規定的輸入數據產生拒絕信號並提供給錯誤頁面產生模塊;代碼替換模塊掃描輸入數據,將規定的代碼替換成替換符;代碼編碼模塊連接到代碼替換模塊,對經過代碼替換模塊處理的數據數據進行代碼編碼,將不能執行代碼編碼的數據數據提供給錯誤頁面產生模塊;錯誤頁面產生模塊產生統一的錯誤頁面作為輸出響應頁面。
文檔編號G06F3/048GK102054133SQ200910197758
公開日2011年5月11日 申請日期2009年10月27日 優先權日2009年10月27日
發明者沙潔, 錢立 申請人:上海杉達學院