随着计算机网络的快速发展,以Web应用后台数据库为目标的攻击方式成为攻击者非法窃取信息的重要手段。同时,Oracle数据库作为世界上最成熟的关系数据库之一,已被广泛的应用于金融等重要领域,因此针对以Oracle数据库为后台数据系统的各类攻击尤为常见。本文首先分析了Oracle数据库中广泛存在的权限提升漏洞,提出了目前较为有效的游标类注入式攻击方法以及相关的防御方法,最后设计了基于游标注入攻击的自动化攻击工具。具体工作如下：1)在分析SQL注入攻击产生原因的基础上,归纳出四种针对Oracle数据库的注入攻击方式,为游标类注入提权防御手段的研究提供理论支持；2)分析常用的三大类Oracle数据库权限提升技术,包括PL/SQL提权,Lateral提权以及间接提权,并通过研究总结出这些技术各自的优缺点,最后给出相应的防御预案；3)研究两种通过游标完成用户权限提升的技术。从实验代码中分析这两种提权技术的实现原理,并使用LOOP循环改进了游标Snarf注入提权技术。同时利用游标注入提权技术改进了通过DBMS_SQL包及SDO_DROP_USER_BEFORE触发器进行提权攻击的方法。4)提出一种防御游标注入提权技术的方法。该方法通过构建限制型触发器,限制用户执行DDL语句,进而通过实验证明该方法能够有效防御针对Oracle数据库系统的游标注入式攻击；5)针对以Oracle数据库为后台的WEB应用,设计并实现一个自动化注入工具Autolnject。该工具拥有多种实用功能,如查询WEB应用使用的数据库信息,显示当前用户及其权限,读取数据库中表及列的信息等。