java审计-mybatis注入审计

最新推荐文章于 2025-05-20 00:51:31 发布
最新推荐文章于 2025-05-20 00:51:31 发布
阅读量397 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: mybatis java mysql 系统安全 代码复审
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/admin741admin/article/details/129737259

基础

  • Mybatis获取值的方式有两种,分别是${} 和 #{}。在Mybatis里面一般会采用#{}来进行取值,但是也会有特殊情况。

    • #{}:解析的是占位符问号,可以防止SQL注入,使用了预编译。
    • ${}:直接获取值

例子

like预编译

  • 使用like语句时直接使用#{}会报错,可能会存在使用${}直接拼接,造成sql注入

  • 直接写法

    <select id="findByUserNameVuln02" parameterType="String" resultMap="User">
    select * from users where username like '%${_parameter}%'
</select>

    在这里插入图片描述

  • 报错写法

    <select id="findByUserNameVsec02" parameterType="String" resultMap="User">
    select * from users where username like '%#{_parameter}%'
</select>

  • 正确写法

     <select id="findByUserNameVsec02" parameterType="String" resultMap="User">
     select * from users where username like concat('%',#{_parameter}, '%')
 </select>

  • 其他数据库

    mysql:
    select * from users where username like concat('%',#{username},'%')
oracle:
    select * from users where username like '%'||#{username}||'%'
sqlserver:
    select * from users where username like '%'+#{username}+'%'

in预编译

  • 使用in语句时直接使用#{}会报错,可能会存在使用${}直接拼接,造成sql注入

  • 直接写法

    <select id="findByUserNameVuln04" parameterType="String" resultMap="User">
    select * from users where id in (${ids})
</select>

    在这里插入图片描述

  • 错误写法

    <select id="findByUserNameVuln04" parameterType="String" resultMap="User">
    select * from users where id in (${ids})
</select>

  • 正确写法

    http://localhost:8080/sqli/mybatis/ids/vsec04?ids=1,2

@GetMapping("/mybatis/ids/vsec04")
public List<User> mybatisVsec04(@RequestParam("ids") String ids) {

    return userMapper.findByUserNameVsec04(ids);
}

<select id="findByUserNameVsec04" parameterType="String" resultMap="User">
    select * from users where id in
    <foreach collection="ids.split(',')" item="item" separator="," open="(" close=")">#{ids} </foreach>
</select>

order by

  • 使用order by语句时直接使用#{}会报错,可能会存在使用${}直接拼接,造成sql注入

  • 用order by语句时,尽量后端写死

  • 错误写法

    <select id="findByUserNameVuln03" parameterType="String" resultMap="User">
   select * from users
   <if test="order != null">
       order by ${order} asc
   </if>
</select>

    在这里插入图片描述

  • 正确写法,写死

     <select id="OrderByUsername" resultMap="User">
     select * from users order by id asc limit 1
 </select>

  • 正确写法,过滤

    Java代码块:
@GetMapping("/mybatis/orderby/sec04")
public List<User> mybatisOrderBySec04(@RequestParam("sort") String sort) {
    String filter_order = SecurityUtil.sqlFilter(sort);
    return userMapper.findByUserNameVuln03(filter_order);
}//sqlFilter
private static final Pattern FILTER_PATTERN = Pattern.compile("^[a-zA-Z0-9_/\.-]+$");
 
public static String sqlFilter(String sql) {
    if (!FILTER_PATTERN.matcher(sql).matches()) {  //严格限制用户输入只能包含a-zA-Z0-9_-.
        return null;
    }
    return sql;
}Mysql配置:
    
<select id="findByUserNameVuln03" parameterType="String" resultMap="User">
    select * from users
    <if test="order != null">
        order by ${order} asc
    </if>

Hibernate

  • hibernate即我们经常使用的orm的一种实现,如果使用已封装好的方法,那么默认是使用预编译的。需要注意的有这么几种情况:

    • 对于一些复杂的sql语句,需要开发手写sql,此时要严格过滤用户输入。
    • 上面提到的预编译不生效的几种场景。
    @Autowired CategoryDAO categoryDAO; //依赖注入@RequestMapping("/hibernate")
public String hibernate(@RequestParam(name = "id") int id) {
  Category category = categoryDAO.getOne(id);
  return category.getName();
}
zgcadmin
关注
MyBatis数据审计——跟踪数据的变动记录
AI天才研究院
07-28 2436
数据审计(Data Audit)是指对信息系统中各种数据的完整性、真实性和准确性进行定期检查、评估、分析并向授权用户反馈,以发现、预防或解决信息系统中的数据问题。通过对数据的存储和流转过程进行审计,可以帮助企业更好地保障数据安全,提高数据质量和效益。在大型互联网公司,对数据库的数据访问及处理过程进行全面监控、控制和记录,不仅能够提供数据安全保障,还能够辅助管理人员追踪数据变化、分析数据趋势,改善业务流程和产品质量。
代码审计MyBatis框架SQL注入查询
墨痕诉清风的博客
08-29 594
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。MyBatis是将数据库字段和java对象关联到了一起,开发者无需在关注数据库操作,直接操作java对象就可以完成数据库的增删改查等操作。但是在。
mybatis-使用拦截器实现审计功能
ssehs的博客
04-08 2647
前言 后台开发中,一般的业务表都有创建人,创建时间,修改人,修改时间等业务字段,这些业务字段的值没有特别的逻辑,只是对当时的操作人和操作时间的一个记录。如果每个表格的增删改查,都去修改的这些值的话,难免会影响主业务逻辑的阅读。那么有没有一个统计的方法,自动地去赋予这些值,而不用在业务代码上进行干预呢? JPA也提供了类似的审计功能。 拦截器 思路就是使用mybatis拦截器,每次和数据库通信前,在拦截器中自动赋予这些值。 使用注解标记字段 spring data中定义几个注解,来表明一个字段是需要审计
MybatisJava代码审计中的审计方法及修复方法
liguangyao213的博客
02-27 696
Java代码审计系列课程【共58课时】_Web安全课程-51CTO学堂Java代码审计系列课程,Web安全,学会改课程将更深刻的了解常见漏洞原理,审计发现代码中漏洞,开发人员不再编写“漏洞”,51CTO学堂为您提供全面的视频课程和专项解答,it人充电,就上51CTO学堂https://edu.51cto.com/course/27875.html 前置知识:了解Mybatis框架映射关系 mapper定位java代码 id定位方法 List<User> findByUserName
跟easy-cloud一起写mybatis审计组件
我的漫漫编码路
05-22 1955
mybatis审计模块使用教程项目说明​ 原因:开发人员手动设置实体的创建者、更新者、创建时间、更新时间产生了大量的重复代码​ 目的:减少重复代码、减少开发者设置公共字段的时间,从而优化代码结构、提高开发效率​ 环境:mybatis、springboot、jdk1.8极其以上版本等等、数据数据类需要放在dao或者repository或者 mapper包或者子包下使用须知引入组件使用该组件需要导入e...
mybatis 审计功能(数据自动填充)
weixin_45848110的博客
06-27 2445
1.实现MetaObjectHandler @Component public class MyMetaObjectHandler implements MetaObjectHandler { private final String id = "id"; private final String createdBy = "createdBy"; private final String createdTime = "createdTime"; private final
代码审计-Java项目审计-SQL注入漏洞
Hacker_doggy的博客
07-18 1207
代码审计必备知识点:1、代码审计开始前准备:环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。2、代码审计前信息收集:审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等。3、代码审计挖掘漏洞根本:可控变量及特定函数,不存在过滤或过滤不严谨可以绕过导致的安全漏洞。4、代码审计展开计划:审计项目漏洞原理->审计思路->完整源码->应用框架->验证并利用漏洞。代码审计两种方法:功能点或关键字分析可能存在的漏洞。
代码审计Mybatis框架-怎么判断SQL注入(原理篇)
墨痕诉清风的博客
05-06 124
MyBatis是一个流行的Java数据库框架,它简化了数据库操作,允许开发人员通过映射文件或注解将Java对象与数据库中的数据进行关联。与其他ORM(如 Hibernate)不同,MyBatis不会自动生成SQL,而是允许开发者手动编写SQL语句,因此能够提供更精细的控制。目前大部分JavaWeb的学习和开发都绕不开学习他原理mybatis框架在解析sql语句时,如果sql中存在${}和${}是存在解析顺序先解析 ${}再解析#{
JavaMyBatis 的 SQL 注入防范措施
最新发布
Java技术栈实战开发的博客
05-20 622
本文旨在为Java开发者提供全面的MyBatis SQL注入防护指南,涵盖从基础概念到高级防护技术的完整知识体系。我们将重点讨论MyBatis框架特有的安全机制和潜在风险,而非泛泛而谈SQL注入的一般防护措施。文章首先介绍SQL注入的基本原理和MyBatis框架的工作机制,然后深入分析各种防护措施,包括参数绑定、动态SQL安全使用等。随后提供实际案例和工具推荐,最后讨论未来发展趋势。SQL注入:通过将恶意SQL代码插入到应用程序输入参数中,从而欺骗服务器执行非预期SQL命令的攻击技术。
Java代码审计前置知识——MyBatis
m0_61506558的博客
10-23 757
MyBatis 是支持定制化SQL、存储过程以及高级映射的优秀的持久层框架。MyBatis 避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以对配置和原生 Map使用简单的XML或注解,将接口和Java的POJO(Plain Old Java Object,普通的Java对象)映射成数据库中的记录(一)简介1.1 什么是Mybatis1.2 持久化1.3 持久层1.4 为什么需要MyBatis(二)搭建Mybatis程序。
Mybatis Plus轻松实现数据库变更全局审计日志
编程小蜜蜂
01-30 3397
在日常的业务开发中,监控与记录数据库的变化是非常必要的操作,特别是当出现数据异常时,我们可以通过审计日志追溯数据变化的具体情况。Mybatis Plus作为一款优秀的持久层框架,其强大的功能可以轻松帮助我们实现全局审计日志。
java代码审计mybatis基础知识
weixin_44108760的博客
05-23 278
java代码审计mybatis基础知识
要注意了!这样使用MyBatis框架,被攻击了!
emprere的博客
08-18 239
作者:ofei@Freebuf来源:https://www.freebuf.com/vuls/240578.html前言SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预...
Java代码审计&Mybatis注入&文件上传&下载&读取
qq_46081990的博客
12-22 2591
本文以 Ruoyi、Inxedu、Oasys、Tmall 等项目案例介绍了Mybatis注入、文件上传&下载&读取的代码审计,介绍了审计思路:1、寻找并测试文件上传功能点,抓包得到对应路由等信息,从而定位到功能实现的具体代码(代码溯源),然后审计其是否存在漏洞;2、通过搜索 Java 文件操作常用函数,定位到功能点对应代码段,审计其是否存在漏洞(常规审计思路)。此外,详细介绍了审计流程,如何跟进等等。
MyBatis-Plus】MyBatis-plus的注入器使用
白萝卜弟弟的专栏
04-01 989
如何使用MybatisPlus的注入器来自定义SQL语句,并实现一些复杂的业务逻辑。
静态代码审计之SQL注入java
一杯咖啡的渗透记忆
03-29 1039
三种不同框架类型的SQL JDBC--sql注入 Hibernate--sql注入 Mybatis、iBatis-- sql注入 SQL注入手工审计方法 步骤1:全局搜索“+”,找到存在+ 拼接的sql语句,查看参数是否有过滤,一般在DAO层 追溯上层函数,直到,doPost(HttpServletRequest request,HttpServletResponse response) 查看整个流程中,有没有过滤非法字符串,如果没有,则存在sql注入 找到..
数据库审计+审计内容+操作的跟踪记录+审计的类型
zhou920786312的博客
05-27 5556
数据库审计 审计 1审计是指对用户所执行的数据库活动做跟踪记录,它是数据库管理系统安全性的重要部分,通过审计功能,与数据库安全相关的操作均可被记录下来。 审计内容 1数据库连接操作的跟踪记录 2SQL语句执行操作的跟踪记录 3数据库对象访问操作的跟踪记录 oracle系统对任何用户所做的登录,操作数据库对象进行自动记录,方便数据管理员在事后进行监督和检查.操作的跟踪记录 1审查可疑活
MyBatis 中 SQL 注入攻击的3种方式,真是防不胜防!
2301_78526383的博客
06-17 884
以上就是mybatis的sql注入审计的基本方法,我们没有分析的几个点也有问题,新手可以尝试分析一下不同的注入点来实操一遍,相信会有更多的收获。当我们再遇到类似问题时可以考虑:1、Mybatis框架下审计SQL注入,重点关注在三个方面like,in和order by2、xml方式编写sql时,可以先筛选xml文件搜索$,逐个分析,要特别注意mybatis-generator的order by注入3、Mybatis注解编写sql时方法类似。
数据审计通用功能实现
搬山境KL攻城狮的修炼手册
04-25 2810
数据审计通用功能实现 一、实现思路 二、具体实现 1.pom.xml 2.spring.factories 3.DataAuditAutoConfiguration 4.DataAuditor 5.DataAuditTransactionalEventListener 6.DataAuditApplicationEvent 7.DataAuditHandler 三、使用事例 1.SysUser 1.SysUserService 2.SysUserServiceImpl 四、扩展 五、参考
深入解析JAVA代码审计防范SQL注入的策略
- 审计SQL注入代码:在审计Mybatis框架下的代码时,要重点检查映射文件中的SQL语句。确保所有的用户输入都通过安全的方式处理,如使用预处理语句。 - 编写安全的数据库查询语句:使用Mybatis时,应尽量利用其提供...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值