中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Java安全編碼SQL該怎樣注入

發布時間:2021-09-13 09:34:59 來源:億速云 閱讀:215 作者:柒染 欄目:安全技術

Java安全編碼SQL該怎樣注入,針對這個問題,這篇文章詳細介紹了相對應的分析和解答,希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

隨著互聯網的發展,Java語言在金融服務業、電子商務、大數據技術等方面的應用極其廣泛。Java安全編碼規范早已成為SDL中不可或缺的一部分。本文以Java項目廣泛采用的兩個框架Hibernate和MyBatis  為例來介紹,如何在編碼過程中避免SQL注入的幾種編碼方法,包括對預編譯的深度解析,以及對預編譯理解的幾個“誤區”進行了解釋。

目前Hibernate和MyBatis為java項目廣泛采用的兩個框架。由于Hibernate使用方便,以前的項目采用Hibernate非常的廣泛,但是后面由于Hibernate的侵入式特性,后面慢慢被MyBatis所取代  。下面我們會以SpringBoot為基礎,分別搭建Hibernate和MyBatis的漏洞環境。

2. 配置說明

SpringBoot采用2.3.1.RELEASE,MySQL版本為5.7.20。數據庫有一張表user_tbl。數據如下:

Java安全編碼SQL該怎樣注入

3. Hibernate

Hibernate 是一個開放源代碼的對象關系映射框架,它對 JDBC 進行了非常輕量級的對象封裝,是一個全自動的 ORM 框架。Hibernate  自動生成 SQL 語句,自動執行。

(1) 環境搭建

結構如下,ctl為控制層,service為服務層,dao為持久層。為了方便沒有按照標準的接口實現,我們只關注漏洞的部分。

Java安全編碼SQL該怎樣注入

Beans下User.java對用為user_tbl表結構。

Java安全編碼SQL該怎樣注入

我們使用/inject 接口,p為接受外部的參數,來查詢User的列表,使用fastjson來格化式輸出。

Java安全編碼SQL該怎樣注入

我們回到dao層。

1)SQL注入

SQL注入我們使用字符串拼接方式:

Java安全編碼SQL該怎樣注入

訪問http://localhost:8080/inject?p=m 直接用SQLMap跑一下:

Java安全編碼SQL該怎樣注入

很容易就注入出數據來了。

2)HQL注入

HQL(Hibernate Query Language)是Hibernate專門用于查詢數據的語句,有別于SQL,HQL  更接近于面向對象的思維方式。表名就是對應我們上面的entity配置的。HQL注入利用比SQL注入利用難度大,比如一般程序員不會對系統表進行映射,那么通過系統表獲取屬性的幾乎不可能的,同時由于HQL對于復雜的語句支持比較差,對攻擊者來說需要花費更多時間去構造可用的payload,更多詳細的語法可以參考:

https://docs.huihoo.com/Hibernate/reference-v3_zh-cn/queryhql.html

Java安全編碼SQL該怎樣注入

3)預編譯

我們使用setParameter的方式,也就是我們熟知的預編譯的方式。

Query query = (Query) this.entityManager.createQuery("from User u where u.userName like :userName ",User.class);  query.setParameter("userName","%"+username+"%");

訪問http://localhost:8080/inject?p=m后得到正常結果。

Java安全編碼SQL該怎樣注入

執行注入語句:

http://localhost:8080/inject?p=m’ or ‘1’ like ‘1 返回為空。

Java安全編碼SQL該怎樣注入

我們來看看setParameter的方式到底對我們的SQL語句做了什么。我們將斷點打至Loader.class的bindPreparedStatement。發現通過預編譯后,SQL變為了:

select user0_.id as id1_0_, user0_.password as password2_0_, user0_.username as username3_0_ from user_tbl user0_ where user0_.username like '%'' or ''1'' like ''1%',

然后交給hikari處理。發現將我們的單引號變成了兩個單引號,也就是說把傳入的數據變為字符串。

Java安全編碼SQL該怎樣注入

將斷點斷至mysql-connector-java(也就是我們熟知的JDBC驅動包)的ClientPreparedQueryBindings.setString.這里就是參數設置的地方。

Java安全編碼SQL該怎樣注入

看一下算法:

String parameterAsString = x;              boolean needsQuoted = true;              if (this.isLoadDataQuery || this.isEscapeNeededForString(x, stringLength)) {                  needsQuoted = false;                  StringBuilder buf = new StringBuilder((int)((double)x.length() * 1.1D));                  buf.append('\'');                  for(int i = 0; i < stringLength; ++i) {                      char c = x.charAt(i);                      switch(c) {                      case '\u0000':                          buf.append('\\');                          buf.append('0');                          break;                      case '\n':                          buf.append('\\');                          buf.append('n');                          break;                      case '\r':                          buf.append('\\');                          buf.append('r');                          break;                      case '\u001a':                          buf.append('\\');                          buf.append('Z');                          break;                      case '"':                          if (this.session.getServerSession().useAnsiQuotedIdentifiers()) {                              buf.append('\\');                          }                          buf.append('"');                          break;                      case '\'':                          buf.append('\'');                          buf.append('\'');                          break;                      case '\\':                          buf.append('\\');                          buf.append('\\');                          break;                      case '&yen;':                      case '?':                          if (this.charsetEncoder != null) {                              CharBuffer cbuf = CharBuffer.allocate(1);                              ByteBuffer bbuf = ByteBuffer.allocate(1);                              cbuf.put(c);                              cbuf.position(0);                              this.charsetEncoder.encode(cbuf, bbuf, true);                              if (bbuf.get(0) == 92) {                                  buf.append('\\');                              }                          }                          buf.append(c);                          break;                      default:                          buf.append(c);                      }                  }                  buf.append('\'');

可以看到mysql-connector-java主要是將將我們&rsquo;轉為了&rsquo;&rsquo;,對于轉義的\會變為\\,比如對于這種SQL:

SELECT user0_.id AS id1_0_,user0_. PASSWORD AS password2_0_,user0_.username AS username3_0_  FROM user_tbl user0_ WHERE user0_.username LIKE '%\' or username = 0x6d #%'

也會變為:

SELECT user0_.id AS id1_0_,user0_. PASSWORD AS password2_0_,user0_.username AS username3_0_  FROM user_tbl user0_ WHERE user0_.username LIKE '%\\'' or username = 0x6d #%'

有人會說那我們使用select * from user_tbl where id = 1 and user() =  0x726f6f74406c6f63616c686f7374  這種類似的語句,全程沒有jdbc里面的危險字符是不是就可以繞過了?mysql-connector-java里面有個非常巧妙的點是,他會根據你傳入的類型判斷。比如傳入的為int類型。就會走setInt。傳入的為string就會走setString。所以這段語句還是會被select  * from user_tbl where id = 1 &lsquo;and user() = 0x726f6f74406c6f63616c686f7374&rsquo;

我們看到SQL預編譯的算法也是非常簡單。

4. MyBatis

MyBatis是一流的持久性框架,支持自定義SQL,存儲過程和高級映射。MyBatis可以使用簡單的XML或注釋進行配置。現在目前國內大部分公司都是采用的MyBatis框架。

(1) 環境搭建:

下面為我們項目目錄結構:

Java安全編碼SQL該怎樣注入

(2) 使用#{}的方式

#{}也就是我們熟知的預編譯方式。

Java安全編碼SQL該怎樣注入

訪問http://localhost:8080/getList?p=m 后正常的返回:

Java安全編碼SQL該怎樣注入

使用http://localhost:8080/getList?p=m' or &lsquo;1&rsquo; like &lsquo;1

結果返回為空。不存在注入。

我們將斷點斷在PreparedStatementLogger的invoke方法上面,其實這里就是一個代理方法。這里我們看到完整的SQL語句。

Java安全編碼SQL該怎樣注入

同樣我們將斷點斷在:ClientPreparedQueryBindings.setString同樣會進去

Java安全編碼SQL該怎樣注入

Hibernate和MyBatis的預編譯機制是一樣的。

(3) 使用${}的方式

${}的方式也就是MyBatis的字符串連接方式。

Java安全編碼SQL該怎樣注入

使用SQLMap很容易就能跑出數據:

Java安全編碼SQL該怎樣注入

(4) 關于OrderBy

之前有聽人說Order By后面的語句是不會參與預編譯?這句話是錯誤的。Order  By也是會參與預編譯的。從我們上面的jdbc的setString算法可以看到,是因為setString會在參數的前后加上&rsquo;&rsquo;,變成字符串。導致Order  By失去了原本的意義。只能說是預編譯方式的Order By不適用而已。所以對于這種Order By的防御的話建議是直接寫死在代碼里面。對于Order  By方式的注入我們可以通過返回數據的順序的不同來獲取數據。

Java安全編碼SQL該怎樣注入

(5) 關于useServerPrepStmts

其實在只有JDBC在開啟了useServerPrepStmts=true的情況下才算是真正的預編譯。但是如果是字符串的拼接方式,預編譯是沒有效果的。從MySQL的查詢日志就可以開看到。可以看到Prepare的語句。一樣是存在SQL注入的。

Java安全編碼SQL該怎樣注入

我們使用占位符的方式:

Java安全編碼SQL該怎樣注入

上面的語句就不存在SQL注入了。

我想這就是JDBC默認為啥不開啟useServerPrepStmts=true的原因吧。

關于Java安全編碼SQL該怎樣注入問題的解答就分享到這里了,希望以上內容可以對大家有一定的幫助,如果你還有很多疑惑沒有解開,可以關注億速云行業資訊頻道了解更多相關知識。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

石景山区| 临夏市| 隆回县| 怀化市| 合水县| 万宁市| 泗洪县| 米林县| 呼玛县| 普兰县| 贵阳市| 克山县| 安龙县| 勃利县| 湾仔区| 宁波市| 张家界市| 柳河县| 肇源县| 长垣县| 湟中县| 桦南县| 雷州市| 大渡口区| 封开县| 平南县| 新蔡县| 泰安市| 泰兴市| 漳浦县| 龙江县| 武威市| 大荔县| 原阳县| 栾城县| 准格尔旗| 本溪市| 岳普湖县| 凤山县| 万荣县| 福贡县|