Java代码审计之SQL注入

原创 已于 2022-12-07 20:40:20 修改 · 2.5k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #sql #数据库 #后端 #web安全

于 2022-12-05 23:11:47 首次发布
本文通过代码实例展示了Java中JDBC及Mybatis框架在预编译与非预编译状态下可能存在的SQL注入风险,并提供了相应的修复建议。

深入了解Java中的SQL注入

本文以代码实例复现了Java中JDBC及Mybatis框架采用预编译和非预编译时可能存在SQL注入的几种情况,并给予修复建议。

JDBC

首先看第一段代码,使用了远古时期的JDBC并且并没有使用预编译。这种简单的字符串拼接就存在SQL注入

@RequestMapping("/jdbc/vuln")
public String jdbc_sqli_vul(@RequestParam("username") String username) {

    StringBuilder result = new StringBuilder();

    try {
        Class.forName(driver);
        Connection con = DriverManager.getConnection(url, user, password);

        if (!con.isClosed())
            System.out.println("Connect to database successfully.");

        // sqli vuln code
        Statement statement = con.createStatement();
        String sql = "select * from users where username = '" + username + "'";
        logger.info(sql);
        ResultSet rs = statement.executeQuery(sql);

        while (rs.next()) {
            String res_name = rs.getString("username");
            String res_pwd = rs.getString("password");
            String info = String.format("%s: %s\n", res_name, res_pwd);
            result.append(info);
            logger.info(info);
        }
        rs.close();
        con.close();


    } catch (ClassNotFoundException e) {
        logger.error("Sorry,can`t find the Driver!");
    } catch (SQLException e) {
        logger.error(e.toString());
    }
    return result.toString();
}

简单复现下
在这里插入图片描述

再看第二段代码,这段代码也是使用了JDBC但使用了PreparedStatement预编译,这回就避免了SQL注入

@RequestMapping("/jdbc/sec")
    public String jdbc_sqli_sec(@RequestParam("username") String username) {

        StringBuilder result = new StringBuilder();
        try {
            Class.forName(driver);
            Connection con = DriverManager.getConnection(url, user, password);

            if (!con.isClosed())
                System.out.println("Connecting to Database successfully.");

            // fix code
            String sql = "select * from users where username = ?";
            PreparedStatement st = con.prepareStatement(sql);
            st.setString(1, username);

            logger.info(st.toString());  // sql after prepare statement
            ResultSet rs = st.executeQuery();

            while (rs.next()) {
                String res_name = rs.getString("username");
                String res_pwd = rs.getString("password");
                String info = String.format("%s: %s\n", res_name, res_pwd);
                result.append(info);
                logger.info(info);
            }

            rs.close();
            con.close();

        } catch (ClassNotFoundException e) {
            logger.error("Sorry, can`t find the Driver!");
            e.printStackTrace();
        } catch (SQLException e) {
            logger.error(e.toString());
        }
        return result.toString();
    }

但是这种预编译在某些情况并不能使用

like模糊查询

例如在使用like进行模糊查询的时候,我们对第二段代码的sql进行修改

select * from users where username like '%?%'

预编译报错

在这里插入图片描述

order by

在order by的情况中也不能使用预编译,因为会将进行排序的字段名解析为字符串导致无法正常排序

若强行预编译

select * from users order by ?

数据库数据如下

在这里插入图片描述

我想根据username进行排序则需要以下sql

select * from users order by username

成功执行顺序是对的

在这里插入图片描述

但是强行预编译会将sql解析成

select * from users order by 'username'

在这里插入图片描述

排序错误导致失去作用
在这里插入图片描述

in

正常情况下的where in

select * from users where id in (1,2,3)

在这里插入图片描述

若强行预编译

select * from users where id in ?

导致结果报错

select * from users where id in '(1,2,3)'

在这里插入图片描述

mybatis

mybatis与hibernate等框架同样存在这些问题,hibernate现在很少用以mybatis为例

Mapper注解未使用占位符预编译存在SQL注入

 @Select("select * from users where username = '${username}'")
 List<User> findByUserNameVuln01(@Param("username") String username);

在这里插入图片描述

Mapper xml未使用占位符预编译存在SQL注入

<select id="findByUserNameVuln02" parameterType="String" resultMap="User">
	select * from users where username like '%${_parameter}%'
</select>

在这里插入图片描述

Mapper xml在排序时未采用占位符预编译存在SQL注入

<select id="findByUserNameVuln03" parameterType="String" resultMap="User">
	select * from users
	<if test="order != null">
    	order by ${order} asc
	</if>
</select>

在这里插入图片描述

安全的mybatis代码

@Select("select * from users where username = #{username}")
User findByUserName(@Param("username") String username);

<select id="findById" resultMap="User">
	select * from users where id = #{id}
</select>

<select id="OrderByUsername" resultMap="User">
	select * from users order by id asc limit 1
</select>

修复

1.可以的话对参数进行类型转换,数字型注入很少出现大多都是字符串拼接

Interge.valueof()

2.占位符预编译,目前最有效的办法

3.like,order by,where in需要特殊处理

例如:

处理like

select * from user where username like concat('%', ?, '%')

处理order by

可以做白名单处理sql

/**
     * 过滤mybatis中order by不能用#的情况。
     * 严格限制用户输入只能包含<code>a-zA-Z0-9_-.</code>字符。
     *
     * @param sql sql
     * @return 安全sql,否则返回null
     */
private static final Pattern FILTER_PATTERN = Pattern.compile("^[a-zA-Z0-9_/\\.-]+$");
    public static String sqlFilter(String sql) {
        if (!FILTER_PATTERN.matcher(sql).matches()) {
            return null;
        }
        return sql;
    }

也可以在java层面做映射处理,例如限制用户输入1或2不同数字对应不同的排序

处理in

可以使用Mybatis自带循环指令解决SQL语句动态拼接的问题

select * from users where id in
	<foreach collection="ids" item="item" open="("separator="," close=")">
		#{item} 
	</foreach>

SQL注入排查

可以使用专业的安全扫描工具也可以进行手动排查

关键字:Select、Dao 、from 、delete 、update、insert

Java代码审计SQL注入
大河之犬的博客
12-15 2870
SQL 注入SQL Injection)是因为程序未能正确对用户的输入进行检查,将用户的输入以拼接的方式带入 SQL 语句中,导致了 SQL 注入的产生。黑客通过 SQL 注入可直接窃取数据库信息,造成信息泄露输入用户可控直接或间接拼入 SQL语句执行因 SQL 注入漏洞特征性较强,在实际的审计过程中我们往往可以通过一些自动化审计工具快速地发现这些可能存在安全问题的代码片,如使用奇安信代码卫士、Fortify 等自动化工具。
Java数据库安全SQL注入原理与全面防御指南
记录学习的过程
05-07 897
SQL注入SQL Injection)是一种将恶意SQL代码插入到应用程序输入参数中,从而在后台数据库执行非预期操作的攻击技术。攻击者通过精心构造的输入,绕过应用程序的安全机制,直接操作数据库,可能导致数据泄露、篡改或删除等严重后果。典型攻击场景// 脆弱代码示例password: [任意值]SELECT * FROM users WHERE username = 'admin' --' AND password = '[任意值]'--是SQL注释符,使密码条件失效,直接以管理员身份登录。
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求中的参数中含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
CodeQL对Java项目进行SQL注入审计总结
最新发布
汤青松博客
11-20 588
本文介绍了使用CodeQL进行Java代码安全审计的方法。作者从项目背景出发,提出利用CodeQL将代码转换为可查询数据库,通过类SQL语法挖掘漏洞。具体操作包括:1)使用CodeQL扫描生成漏洞报告;2)分析报告判断漏洞真假。重点阐述了如何通过跟踪数据流验证漏洞:检查注入点、执行点和中间链路的安全性。文章还列举了3个常见误报案例,说明CodeQL的局限性,如对数据类型约束理解不足、无法识别自定义过滤函数等。整个过程强调人工审计的必要性,指出CodeQL仅提供可疑警报,需要结合代码上下文进行最终判断。
Java代码审计连载之—SQL注入
dfdhxb995397的博客
08-03 194
前言近日闲来无事,快两年都没怎么写代码了,打算写几行代码,做代码审计一年了,每天看代码都好几万行,突然发现自己都不会写代码了,真是很DT。想当初入门代码审计的时候真是非常难,网上几乎找不到什么java审计的资料,摸索了很长时间,搜到的也仅仅讲了点原理,为了给想学java代码审计的朋友门一点入门资料,就开始写《java代码审计连载》系列文章,本文章适合初学者,大牛留下脚印后请绕过,若代码有...
JAVA代码审计篇-SQL注入
m0_60571990的博客
03-10 1831
JAVA代码审计篇-SQL注入
精选资源
JAVA代码审计SQL注入
06-14
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证: 1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架...
Java代码审计SQL注入漏洞解析》
03-25
本文档是一份关于Java代码审计的教程,专注于解析SQL注入漏洞。文档通过具体的代码示例,展示了如何在Java应用程序中识别和修复SQL注入问题。代码片段展示了分页逻辑和数据查询的实现,其中涉及对用户输入的处理和...
java代码审计SQL注入漏洞
goddemon
02-18 1527
开更文章了,开一个关于Java代码审计相关的系列。本来是想写成一本书的模式的,但是越写越发觉,篇幅太多,想了下还是每个专题单独写,而后最后汇总到一起。慢慢写,基于笔者的理解抒写,如有问题,忘斧正。关于这个系列不会可能有些不会写修复方案,也不会写得特别细,这类文章外面太多了。重点是思路和思考。
代码审计-Java项目审计-SQL注入漏洞
xiaoheizi的博客
08-16 439
eval assert preg_replace call_user_func call_user_func_array等。extract() parse_str() import_request_variables() $$ 等。$_FILES,type="file",上传,move_uploaded_file()等。$_GET,$_POST,$_REQUEST,$_FILES,$_SERVER等。审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等。
java代码注入_Java代码审计连载之—SQL注入
weixin_33504929的博客
02-20 372
前言近日闲来无事,快两年都没怎么写代码了,打算写几行代码,做代码审计一年了,每天看代码都好几万行,突然发现自己都不会写代码了,真是很DT。想当初入门代码审计的时候真是非常难,网上几乎找不到什么java审计的资料,摸索了很长时间,搜到的也仅仅讲了点原理,为了给想学java代码审计的朋友门一点入门资料,就开始写《废话不多说,开始!SQL注入原理先看下百度百科对SQL注入的介绍:所谓SQL注入,就是通过...
Java代码审计篇:SQL注入
hackzkaq的博客
12-01 1554
前期与常规注入代码审计一样,找sql语句看是否存在字符串拼接,如果存在,通过查找参数的调用逻辑,理清逻辑,在构造payload时,先注册一个正常的用户名,但是用户名是带有sql语句的,比如 “ ‘union select user(),2.3# “,此时在登陆的时候就可以显示对应的信息。MyBatis 的 like 子句中使用#{}程序会报错,所以为了避免报错,在开发的时候使用${},当使用like ‘#%{name}%’时,会报错。而使用like ‘$%{name}%’,时会正常执行。
Java代码审计-SQL注入
qq_44780157的博客
07-30 1267
Java代码审计SQL注入
JAVA代码审计】————3、SQL注入
Fly_鹏程万里
02-13 895
前言 近日闲来无事,快两年都没怎么写代码了,打算写几行代码,做代码审计一年了,每天看代码都好几万行,突然发现自己都不会写代码了,真是很DT。想当初入门代码审计的时候真是非常难,网上几乎找不到什么java审计的资料,摸索了很长时间,搜到的也仅仅讲了点原理,为了给想学java代码审计的朋友门一点入门资料,就开始写《java代码审计连载》系列文章,本文章适合初学者,大牛留下脚印后请绕过,若代码有什么其...
攻击JavaWeb应用[3]-SQL注入[1]
xiaoshan812613234的专栏
11-14 1883
注:本节重点在于让大家熟悉各种SQL注入JAVA当中的表现,本想带点ORM框架实例,但是与其几乎无意,最近在学习MongoDb,挺有意思的,后面有机会给大家补充相关。 0x00 JDBC和ORM JDBC: JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问。
Java安全_SQL注入
weixin_34062155的博客
06-07 133
SQL 注入SQL Injection)是 JavaWeb 应用中最常见、最严重的安全漏洞之一。它指的是攻击者将恶意 SQL 语句作为用户输入传入系统,并被后台拼接执行,从而操控数据库。登录验证搜索查询数据过滤接口URL 参数拼接数据库语句如下面的代码那么条件判断永远为真,就能达到绕过的目的。
java SQL注入
点>>滴>>成>>海
10-11 354
1.用户名随便输入 2.密码:1‘  or '1'='1
java-sql注入攻击
weixin_30312563的博客
01-04 289
注射式攻击的原理 SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令,这样的话,远程用户就不仅能向...
java代码审计思维导图_代码审计-MetInfo 6.0.0 sql注入漏洞
weixin_35925956的博客
02-28 349
首先漏洞存在于app\system\message\web\message.class.php文件中,变量{$_M[form][id]}直接拼接在SQL语句中,且验证码检测函数是在SQL语句查询之后,这也就造成了我们可以无视验证码检测函数,进行SQL注入。具体问题函数代码如下:$met_fd_ok=DB::get_one("select * from {$_M[table][config]} wh...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值