Java代码审计篇:SQL注入

原创 已于 2023-12-01 15:04:55 修改 · 1.5k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库

于 2023-12-01 11:28:55 首次发布
本文探讨了Java中常见的SQL注入漏洞,包括动态拼接、预编译错误、order by注入、模糊查询等问题,并提供了防范方法。强调了预编译处理的重要性,以及在遇到order by等特殊场景时如何手动过滤参数。同时,提到了MyBatis中的SQL注入风险,如like查询和in参数的安全处理。文章最后讨论了SQL注入的修复策略和安全学习资源。

一、常见SQL注入
1、sql语句动态拼接
示例代码:

String id=request.getParameter("id");
res = st.executeQuery("SELECT * FROM \"IWEBSEC\".\"user\" WHERE \"id\"="+id);
while(res.next()){
int p = res.getInt("id");
String n = res.getString("username");
String s = res.getString("password");
}

上述代码通过request.getParameter方法获取id值,通过 SELECT * FROM \”IWEBSEC\”.\”user\” WHERE \”id\”=”+id 进行了sql语句的动态拼接。通过executeQuerry执行sql语句,会发现id的参数是可控的并且可以进行sql语句的拼接。
2、预编译错误
示例代码:

`String username="user%' or '1'='1'#";
String id ="2";
String sql = "SELECT * FROM user where id = ?";
if (!CommonUtils.isEmptyStr(username))
sql += " and username like '%" + username + "%'";
System.out.println(sql);
PreparedStatement preparedStatement = conn.prepareStatement(sql);
preparedStatement.setString(1, id);
rs = preparedStatement.executeQuery();`

上述代码虽然使用了preparestatement预编译,但是在后面的username使用了sql语句拼接的方式,这样会导致sql注入。
3、order by 注入
原理:使用prepareStatement时,order by 后面需要加字段名,字段名不能带引号,带引号会被认为这是一个字符串而不是字段名。PrepareStatement 是使用占位符传入参数的,传递的字符都会有单引号包裹,ps.setString(1, id)”会自动给值加上引号,这样就会导致 order by 子句失效。
示例代码:

```java
`String id ="2 or 1=1";
String sql = "SELECT * FROM user "+ " order by " + id;
System.out.println(sql);
PreparedStatement preparedStatement = conn.prepareStatement(sql);
rs = preparedStatement.executeQuery();`

```
上述代码中当使用“String sql = “SELECT * FROM user “+ “ order by “ + id”进行 id 参数拼接时,就出现了 SQL 注入漏洞。
4、%和模糊查询
原理:在 java 预编译查询中不会对%和进行转义处理,而%和_刚好是 like 查询的通配符,如果没有做好相关的过滤,就有可能导致恶意模糊查询。
传入的 username 为“”%user%””时,通过动态调试发现数据库在执行时并没有将%进行转义处理,而是作为通配符进行查询。
防范方法:直接将%进行过滤。
5、MyBatis SQL注入之order by
order by 子句不可以进行参数化查询,进而不能使用#{},只能使用${},如果在 MyBatis 的 order by
子句中使用#{},则 order by 子句会失效。
示例代码:

运行效果:

可见,其运行结果并没有排序,然后我们查看一下mybatis的日志发现,使用#{}参数化查询会将 age 进
行单引号包裹而导致 order by 失效。

5、like查询
MyBatis 的 like 子句中使用#{}程序会报错,所以为了避免报错,在开发的时候使用${},当使用like ‘#%{name}%’时,会报错。

而使用like ‘$%{name}%’,时会正常执行。

虽然使用${}可是使程序正常运行,但是${}属于字符串的拼接,存在SQL注入,如果 emp_Name 传
入的是“emp_Name’ union select 1,database(),3 #”就会造成 SQL 注入漏洞。
防范方法:过滤
6、in 参数
MyBatis 的 in 子句中使用#{}参数化查询,会将“select from users where name in
(#{user})”转变为“select from users where name like (‘’user1’,’user2’,’user3’,’user4’’)”。为避免这个问题只能用${}。
二、常规注入代码审计
1、找常见关键字,方便快速定位
Statement
createStatement
PrepareStatement
like ‘%${
in (${
select
update
insert
2、查找调用方法,弄清逻辑。
3、找到路径绑定关系,构造payload。
4、二次注入
前期与常规注入代码审计一样,找sql语句看是否存在字符串拼接,如果存在,通过查找参数的调用逻辑,理清逻辑,在构造payload时,先注册一个正常的用户名,但是用户名是带有sql语句的,比如 “ ‘union select user(),2.3# “,此时在登陆的时候就可以显示对应的信息。
三、SQL注入的修复
对于 SQL 注入漏洞,最有效的防御手段便是进行预编译处理,使用预编译处理不仅可以防范 SQL 注入攻击,而且能够提高执行速度。但是如果遇到order by,不能用预编译进行处理的时候,就需要对参数进行手动的过滤。
也可以使用强制类型转换来防止sql注入,比如我们已知id的参数是数字,那我们可以把id强制转换为int类型。有效的防止了SQL注入。

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

zkzq
关注
Java代码审计SQL注入
大河之犬的博客
12-15 2837
SQL 注入SQL Injection)是因为程序未能正确对用户的输入进行检查,将用户的输入以拼接的方式带入 SQL 语句中,导致了 SQL 注入的产生。黑客通过 SQL 注入可直接窃取数据库信息,造成信息泄露输入用户可控直接或间接拼入 SQL语句执行因 SQL 注入漏洞特征性较强,在实际的审计过程中我们往往可以通过一些自动化审计工具快速地发现这些可能存在安全问题的代码片,如使用奇安信代码卫士、Fortify 等自动化工具。
Java代码审计安全-常见Java SQL注入
m0_63138919的博客
03-05 1014
本文章参考qax的网络安全java代码审计,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求中的参数中含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
SQL 三种注入方式,一文详解!
最新发布
Cairo_A的博客
09-26 1229
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
JAVA实现sql注入点检测
04-24
JAVA实现的网络爬虫以及对爬到的页进行sql注入的判断
JAVA代码审计-SQL注入
m0_60571990的博客
03-10 1823
JAVA代码审计-SQL注入
Java代码审计SQL注入
tpaer的博客
12-05 2578
复现了Java中JDBC及Mybatis框架采用预编译和非预编译时可能存在SQL注入的几种情况,并给予修复建议。
Java代码审计SQL注入漏洞解析》
03-25
本文档是一份关于Java代码审计的教程,专注于解析SQL注入漏洞。文档通过具体的代码示例,展示了如何在Java应用程序中识别和修复SQL注入问题。代码片段展示了分页逻辑和数据查询的实现,其中涉及对用户输入的处理和...
精选资源
JAVA代码审计SQL注入
06-14
本章节课程主要从以下三方面详细的介绍了如何针对java代码sql注入的审计方法及黑盒验证: 1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架...
代码审计-Java项目审计-SQL注入漏洞
Hacker_doggy的博客
07-18 1327
代码审计必备知识点:1、代码审计开始前准备:环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。2、代码审计前信息收集:审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等。3、代码审计挖掘漏洞根本:可控变量及特定函数,不存在过滤或过滤不严谨可以绕过导致的安全漏洞。4、代码审计展开计划:审计项目漏洞原理->审计思路->完整源码->应用框架->验证并利用漏洞。代码审计两种方法:功能点或关键字分析可能存在的漏洞。
java代码注入_Java代码审计连载之—SQL注入
weixin_33504929的博客
02-20 369
前言近日闲来无事,快两年都没怎么写代码了,打算写几行代码,做代码审计一年了,每天看代码都好几万行,突然发现自己都不会写代码了,真是很DT。想当初入门代码审计的时候真是非常难,网上几乎找不到什么java审计的资料,摸索了很长时间,搜到的也仅仅讲了点原理,为了给想学java代码审计的朋友门一点入门资料,就开始写《废话不多说,开始!SQL注入原理先看下百度百科对SQL注入的介绍:所谓SQL注入,就是通过...
Java代码审计-SQL注入
qq_44780157的博客
07-30 1246
Java代码审计SQL注入
Java代码审计连载之—SQL注入
dfdhxb995397的博客
08-03 194
前言近日闲来无事,快两年都没怎么写代码了,打算写几行代码,做代码审计一年了,每天看代码都好几万行,突然发现自己都不会写代码了,真是很DT。想当初入门代码审计的时候真是非常难,网上几乎找不到什么java审计的资料,摸索了很长时间,搜到的也仅仅讲了点原理,为了给想学java代码审计的朋友门一点入门资料,就开始写《java代码审计连载》系列文章,本文章适合初学者,大牛留下脚印后请绕过,若代码有...
Java中的SQL注入简易分析
鸣蜩十四的博客
08-04 3533
Java中的JDBC与Mybatis中的SQL注入简易分析
java当中sql注入详解
萤火虫,点点星光
02-22 3913
(1)代码如下package cn.packa.wwy;import java.sql.Connection;import java.sql.DriverManager;import java.sql.ResultSet;import java.sql.SQLException;import java.sql.Statement;import org.junit.Test;public class...
Java代码,学SQL注入
weixin_43410631的博客
02-07 1623
如果输入 1' AND extractvalue(1,concat(0x7e,(SELECT database()),0x7e))--+ ,其中 1' 闭合前面的SQL语句,extractvalue() 是一个会导致报错的函数,它会将查询结果以报错信息的形式显示出来,concat(0x7e, (SELECT database()), 0x7e) 用于拼接出当前数据库名称,并以 ~ 包裹起来,方便在报错信息中查看,--+ 用于注释后面的内容。当数据库执行该SQL语句时会报错,并在报错信息中显示出数据库名称。
java代码审计SQL注入
qq_34778376的博客
02-22 850
漏洞原理 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生sql注入java的特殊是有一些框架会托管一部分的数据库的操作,我们要了解一下 漏洞
java代码审计--sql注入
goddemon
09-15 971
一.sql注入基础 public User getUserById(String id) throws SQLException { Connection connection = JDBCTOOLS.getConnection(); String sql = "select id,username from user where id=" + id; Statement statement = connection.createStatement(); ResultSet resu
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值