本文详细探讨了MyBatis框架中SQL注入的三种常见情况:模糊查询、IN后的多个参数和ORDER BY后的注入。通过分析开源CMS项目,展示了如何从XML配置文件定位潜在风险,反推出DAO层和前端URL,最终确认SQL注入漏洞。总结了审计MyBatis SQL注入的重点和实战策略。
前言
SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。
新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。
一、Mybatis的SQL注入
Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。
Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文件时,Mybatis支持两种参数符号,一种是#,另一种是$。比如:
<select id="queryAll" resultMap="resultMap"> SELECT * FROM NEWS WHERE ID = #{id}</select>
使用预编译,$使用拼接SQL。
Mybatis框架下易产生SQL注入漏洞的情况主要分为以下三种:
1、模糊查询
Select * from news where title like ‘%#{title}%’
在这种情况下使用#程序会报错,新手程序员就把#号改成了$,这样如果java代码层面没有对用户输入的内容做处理势必会产生SQL注入漏洞。
正确写法:
select * from n
最低0.47元/天 解锁文章
扫一扫
5295
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
