面试时遇到order by注入我直接懵了

原创 已于 2023-03-18 16:33:36 修改 · 1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#面试 #mybatis #mysql

于 2023-03-18 09:49:26 首次发布
本文详细探讨了在面试中遇到的Mybatis框架中的order by注入问题,包括利用盲注和报错注入的方法,以及安全防范措施。通过案例分析,解释了预编译并非完全安全,强调在防御时应结合WAF和过滤器。同时,提出了通过学习源码来深入理解各类漏洞的重要性。

起因

因为最近在准备面试的东西,在一天下午面试成都某家公司的时候被问到java的order by注入,当时因为懵了并没有做很好的回答...其实还是因为太过急躁在之前学习SQL注入时并没有深入到代码层面理解各个类型漏洞,造成根基并没有打牢。实际上针对不同类型的漏洞在源码层面有很大的不同,例如php中联合查询一定是存在回显位,即将数据库中查询结果展示;盲注大概率是进行了if判断;报错注入一般存在这类函数print_r(mysql_error())(java中catch (Exception e) { return e.toString(); })等。

order by 注入方式

直接从mybatis框架的注入说起吧

在mybatis中的,使用#包裹的字段在内部进行了预编译处理,而$并没有使用预编译,也就是原生jdbc中
prepareStatement和Statement的区别。
关于order by,当注入点在后面时,是不能连接union的,例如:

select * from users order by user;

在SQL中是不允许union直接跟在order by后面的,所以我们可以考虑使用盲注或报错注入。

利用盲注,也就是看返回值

已知字段

使用if条件句,if(1=1,id,user),if函数三个占位,1=1为表达式,也是后续注入主要利用的地方,表达式为真返回以id

最低0.47元/天 解锁文章
zkzq
关注
互联网大厂高频面试题基本总结回顾(含笔试高频算法整理)
张彦峰的博客
04-03 176万+
1.自我介绍+项目介绍+项目细节/难点提问-------这个主要看个人的经历了,每个人都不一样 2.基础知识点考核---------还是可以去增强自己的,也是这次的主要的一些总结思路 3.算法题-----------一般都是LeetCode高频题,这个得在找工作之前的好好的练习(d对常见的高频题进行总结分析,见对应的链接提示)
【网络安全工程师面试合集】—SQL注入分类 以及 常用注入
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
11-29 4941
目录 4.1.1. 注入分类 4.1.1.1. 简介 4.1.1.2. 按技巧分类 4.1.1.3. 按获取数据的方式分类 4.1.1.3.1. inband 4.1.1.3.2. inference 4.1.1.3.3. out of band (OOB) 4.1.2. 注入检测 4.1.2.1. 常见的注入点 4.1.2.2. Fuzz注入点 4.1.2.3. 测试用常量 4.1.2.4. 测试列数 4.1.2.5. 报错注入 4.1.2.5.1. 基于geometric的报
SQL注入order by注入与limit注入
m0_46467017的博客
08-09 6172
MySQL支持使用ORDER BY语句对查询结果集进行排序处理,使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。语法格式如下select * from 表名 order by 列名(或者数字) asc;升序(默认升序) select * from 表名 order by 列名(或者数字) desc;降序假设有以下用户表当我们使用命令的候,是将users这张表按照username这一列进行升序,结果就变成了;...
SQL注入order by注入
qq_68163788的博客
01-30 3196
Order by注入是一种SQL注入攻击的类型,它利用了在SQL查询中使用order by子句来对结果进行排序的漏洞。在正常情况下,order by子句会根据指定的列对结果进行排序,但是如果应用程序没有对用户提供的输入进行正确的验证和过滤,攻击者就可以利用这个漏洞来执行恶意的SQL查询。 通过在order by子句中插入恶意的SQL代码,攻击者可以获取敏感数据、修改数据库内容或者执行其他恶意操作。例如,攻击者可以利用order by注入来发现数据库中的表名、列名或者获取敏感数据。
SQL注入ORDER BY注入
m0_74834253的博客
02-22 4696
使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。需要注意的是这样注入的效率很低,还是应该先考虑其他的注入方式最后在采用间盲注。order by还支持多个字段自定义排序,通过逗号隔开,但只能在数字之间进行自定义排序,若选择字符类型则会根据第一个列名的排序规则进行排序。为true或者false,排序结果是不同的,但因为序列相同所以就可以使用rand()函数进行盲注了。
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
热门推荐
yump的博客笔记
09-29 3万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
sql注入order by注入
qq_45627785的博客
08-05 7718
Jan 1, 0001 00:00 · 427 words · 3 minute readCTF 了解order by order by盲注 结合union来盲注 基于if()盲注 需要知道列名 不需要知道列名 基于间的盲注 基于rang()的盲注 order by 报错注入 updatexml extractvalue 在安恒杯看到了利用order by进行盲注,记得自己之前好像总结过order by后的注入方法,翻..
【Java】mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
DreamSun的博客
07-21 4076
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected ‘EOF’, got ‘#’ at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。
面试中遇到sql,进行查询
03-15
面试中遇到SQL查询,这是IT行业中非常常见的情景,特别是在数据库管理、数据分析或软件开发相关的职位中。SQL(Structured Query Language,结构化查询语言)是用于管理关系数据库的标准语言,掌握其核心概念和...
SQL面试题及答案
最新发布
网易搬砖头
04-11 583
在快节奏的数据管理和信息技术世界中,导航和操作结构化数据的能力是一项非常重要的技能。SQL,即结构化查询语言,是关系数据库的基石,掌握这种语言的专业人员的需求量很大。SQL 面试在科技行业很常见,潜在的候选人会接受测试以展示他们的知识和解决问题的能力。为了帮助您准备下一次 SQL 面试,本文提供了 SQL 面试问题和答案的全面集合。这些问题涵盖了广泛的 SQL 概念,从基本语法到高级数据库优化技术。
Mybatisorderby引起的sql注入
西溪少女的梦
07-01 4165
sql中两种传参数的方式: #{param} 这种是经过预编译的,不会有sql注入 ${param} 这种仅仅取变量的值,可以有sql注入 但是在orderby中之能用${param},用#会导致排序不生效。 例如,传入值为name 用 SELECT * FROM STUDENT ORDER BY #{orderby}会变成: SELECT * FROM STUDENT OR...
Mybatis Order by动态参数防注入
qq_34819372的博客
06-02 1万+
一、先提及一下Mybatis动态参数 c
sql注入之--order by注入
2301_81142776的博客
02-27 2089
目标是把performance_schema的把复杂度降低,让DBA能更好的阅读这个库里的内容。sys_开头是库里的配置表,sys_config用于sys schema库的配置。information_schema是mysql自带的一个数据库,他提供了访问数据库元数据的方式。如数据库名,数据库的表,表栏的数据类型与访问权限等。通过对information_schema库的注入我们可以得到库名,表名,列名等等信息。该视图提供了表的统计信息,包括表名、数据库名等。子句,触发数据库错误,从而获取数据库信息。
mysql order by注入_sql注入order by注入
weixin_28882177的博客
01-19 5171
0x00 前言夜里看了一篇文章,突然有了启发,赶紧记录一下。了解order by参考:order bymysql中对查询数据进行排序的方法, 使用示例select * from 表名 order by 列名(或者数字) asc;升序(默认升序)select * from 表名 order by 列名(或者数字) desc;降序这里的重点在于order by后既可以填列名或者是一个数字。举个例子:...
利用sqli-labs了解order by注入
qq_51769881的博客
06-09 461
(2)方法二:通过两个查询分别加括号的方式,注意 order by 不能出现在union的子句中,但可以出现在子句的子句中。(1)方法一:去掉前一个select语句的 order by,意思是先union再对整个结果集order by。(0)注意union在没有括号的情况下只能使用一个 order by,如果直接运行如下语句,会报错。​ union会过滤掉两个结果集中重复的行,而union all不会过滤掉重复行。(1)lines terminated by 写入。​ 利用条件:开启错误提示。
SQL注入ORDER BY注入_order by sql注入问题
2401_84970069的博客
05-13 1032
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
MyBatis 排序防止sql注入
tony_java_2017的博客
11-13 1万+
MyBatis的排序 引言     最近在项目开发中遇到一个问题,项目中使用的的MyBatis的排序功能被安全部门扫描出了SQL注入安全隐患,查看安全报告说是有一个接口中存在SQL注入的安全漏洞,检查后发现是因为该接口中的排序功能使用了的MyBatis中的$ {}。 #{}与$ {}的区别     默认情况下,使用#{}格式的语法会导致MyBatis的创建的PreparedStatemen...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值