java代码审计-SQL的注入

news2024/12/28 21:05:49

0x01 前言

Java里面常见的数据库连接方式有三种,分别是JDBC,Mybatis,和Hibernate。

0x02 JDBC注入场景

很早之前的Javaweb都是用JDBC的方式连接数据库然后去实现dao接口再调service业务层去实现功能代码
JDBC连接代码

@WebServlet("/demo")
    public class domain extends HttpServlet {

        @Override
        protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
            System.out.println("get访问");
            String id = req.getParameter("id");
            Connection conn = null;

            try {
                Class.forName("com.mysql.jdbc.Driver");

                conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/demo", "root", "root");
                String sql = "select * from users where id = '"+id+"' ";

                Statement statement = conn.createStatement();
                ResultSet resultSet = statement.executeQuery(sql);
            } catch (ClassNotFoundException | SQLException e) {
                e.printStackTrace();
            }
        }

        @Override
        protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
            this.doGet(req,resp);
        }
    }

这里使用statement对象去执行sql语句然后采用拼接的语法会造成get型sql注入,其它类型注入方法:
POST型注入:

String sql = "select * from users where username = '"+username+"' and password = '"+password+"' ";

Like型注入:

 String name = req.getParameter("name");
            String sql = "select * from users where name like '%'+name+'%'";
            //String sql = "select * from users where name like '%" + name + "%'";

Header注入:

String referer = req.getHeader("referer");
String sql = "update user set referer ='"+referer+"'";

JDBC 预编译
预编译的定义其实就是使用问号先来占位,后面再传入具体的值。
后面传值的时候,程序会把传入的参数,自动转换为spring类型的字符,并不会拼接成sql语句生效。
预处理会自动过滤 ' 等敏感字符然后进行转义(Like\order by 预处理会报错需要在setstring方法设置%%)

Connection  conn = JDBCUtils.getConnection();
            String sql = "select * from users where username = ? and password = ?";
            PreparedStatement pstmt = conn.prepareStatement(sql);  //使用预编译传入sql语句
            pstmt.setString(1,username);   //设置第一个参数为username
            pstmt.setString(2,password);   //设置第二个参数为password
            pstmt.executeQuery();

0x03 Mybatis注入场景

Mybatis获取值的方式有两种,分别是 ${} 和 #{}

  • #{}:解析的是占位符问号,可以防止SQL注入,使用了预编译

  • ${}:直接获取值,采用拼接的方式

因为like、order by直接使用#{}预编译会进行sql报错,所以开发人员在使用${}不当后会造成like注入和oder by注入,Mybatis中常见的注入场景为以下三种:

  • ${}

  • like 使用 ${}

  • order by 使用 ${}

1. Get注入

靶场使用了Mybatis框架,首先在Mapper文件中查找到sql语句使用了 ${} 的写法,在Mybatis中 ${} 为拼接的方式构造sql语句
 

图片


跟进findByUserNameVuln01函数到controller层找到漏洞触发URI, 并且未对sql语句进行过滤造成sql注入
 

图片


观察URI上一层还有/sqli路径,所以漏洞触发URI为/sqli/mybatis/vuln01
 

图片


字符型注入,构造闭合,构造sql语句为

select * from users where username = 'xxx' or '1' = '1'
http://localhost/sqli/mybatis/vuln01?username=xxx' or '1'='1

where后语句恒为真所以执行了select * from users即查询了所有用户的信息

图片

2. Like注入

以上是采用注解的方式写sql语句,Mybaitis中还有一种是用配置xml的方式,在mapper下找到UserMapper.xml
 

图片


可以看到findByUserNameVuln02、findByUserNameVsec02两个方法都是以这种方式配置的sql语句,在Mapper中跟进findByUserNameVuln02方法
 

图片


得到URI为/mybatis/vuln02
 

图片


观察XML中sql为like型注入且使用了 ${}
 

图片


like注入, like模糊查询语法 %xxx% , %23 为 # 注释掉后边的 %

http://localhost/sqli/mybatis/vuln02?username=xxx' or '1'='1' %23

出数据
 

图片


修复方式,使用mysql函数concat()先预编译再进行拼接%字符进行模糊查询

select * from users where username like concat('%',#{_parameter}, '%')

3. Order by 注入

controller中找到此方法,用户传入sort值并赋值给String sort
 

图片


在mapper中又把sort值赋给order
 

图片


在xml配置文件中观察findByUserNameVuln03使用order by排序方法构造sql语句,可以看到如果order值不为空走进排序查询语句
 

图片


构造payload

http://localhost:8080/sqli/mybatis/orderby/vuln03?sort=1 desc%23

desc倒序执行sql语句进行排序
 

图片


asc正序执行sql语句进行排序
 

图片


修复方式
使用sqlFilter方法对传入的值进行过滤

@GetMapping("/mybatis/orderby/sec04")
    public List<User> mybatisOrderBySec04(@RequestParam("sort") String sort) {
        String filter_order = SecurityUtil.sqlFilter(sort);
        return userMapper.findByUserNameVuln03(filter_order);
    }

}

4. In 注入

使用预编译 #{} 的代码会报错所以使用以下 ${} 方式会造成注入

Select * from news where id in (${id})

0x04 Hibernate

@Autowired CategoryDAO categoryDAO; //依赖注入 
@RequestMapping("/hibernate") 
public String hibernate(@RequestParam(name = "id") 
int id) { 
  Category category = categoryDAO.getOne(id); 
  return category.getName(); 
}

hibernate即我们经常使用的orm的一种实现,如果使用已封装好的
方法,那么默认是使用预编译的。需要注意的有这么几种情况:

  1. 对于一些复杂的sql语句,需要开发手写sql,此时要严格过滤用
    户输入

  2. 上面提到的预编译不生效的几种场景同Mybatis一样

0x05 总结

存在问题的关键词:

Mybatis: $
JDBC连接方式下:  +、like、order by 
hibernate: +、like、order by

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1973358.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

科技云报道:大模型引领技术浪潮,AI安全治理面临“大考”

科技云报道原创。 从文生文到文生图&#xff0c;再到文生视频&#xff0c;近年来&#xff0c;以ChatGPT、Sora等为代表的大模型引领了全球人工智能技术与产业的新一轮浪潮。2024年更是被业内称为大模型应用爆发元年。 年初&#xff0c;Sora横空出世验证了Scalling Law在视频生…

计算机的错误计算(五十)

摘要 扩展了计算机的错误计算&#xff08;四十九&#xff09;中的代码。同时发现&#xff0c;误差也“扩展”了。 下面是代码&#xff1a; import torch# 设置随机种子 torch.manual_seed(0)# 创建张量并移动到GPU W1 torch.randn(5, 3) * 10 W1 W1.to(cuda) X1 torch.ran…

高级宏定义

平时常说的 C 语言三大预处理功能是什么&#xff1f;&#xff08;吹牛谈资&#xff0c;不能不知&#xff09; 答&#xff1a;宏定义&#xff1b;文件包含&#xff1b;条件编译。 说到底&#xff0c;宏定义的实质是什么&#xff1f; 答&#xff1a;替换。 关于宏定义有一点…

CSS技巧专栏:一日一例 18 -纯CSS实现背景浮光掠影的按钮特效

CSS技巧专栏:一日一例 18 -纯CSS实现背景浮光掠影的按钮特效 先发图,再说话: 案例图片 案例分析 按钮是好几种颜色的背景色组成的,使用css的话,应该会有几个不同颜色的层,在按钮后面移动。每个层互相叠加,大概还会用到图片混合模式产生了更多的叠加的颜色,然后边缘过…

云计算实训20——mysql数据库安装及应用(增、删、改、查)

一、mysql安装基本步骤 1.下载安装包 wget https://downloads.mysql.com/archives/get/p/23/file/mysql-8.0.33-1.el7.x86_64.rpm-bundle.tar 2.解压 tar -xf mysql-8.0.33-1.el7.x86_64.rpm-bundle.tar 3.卸载mariadb yum -y remove mariadb 查看解压后的包 [rootmysq…

二叉树遍历算法的应用

1、二叉树的创建 2、二叉树的复制 3、二叉树的深度 4、计算结点总个数

jsp 自定义taglib

一、简介 我们在javaWeb开发中&#xff0c;经常会用到jsp的taglib标签&#xff0c;有时候并不能满足我们的实际需要&#xff0c;这就需要我们自定义taglib标签&#xff0c; 二、开发步骤 1、编写control方法&#xff0c;继承BodyTagSupport 2、定义zdytaglib.tld标签文件 3、…

AI Agent 如何入门?来看看这本新书!!!

半个月前&#xff0c;粗心的我细心地发现&#xff0c;有一本关于 Agent 的书籍&#xff0c;作者还是熟悉的咖哥&#xff08;黄佳老师&#xff0c;当年拜读过他的《零基础学机器学习》&#xff09;。 而在昨天&#xff0c;我终于收到了&#xff01;立刻花了半个小时品读起来~觉…

LeetCode 572.另一棵树的子树 C写法

LeetCode 572.另一棵树的子树 C写法 思路&#x1f9d0;&#xff1a; 可以用上判断两棵树是否相同的方法&#xff0c;root的每个结点都去与subroot进行该方法的比较&#xff0c;如果有一轮比较成功就表示root包含subroot。 代码&#x1f50e;&#xff1a; bool isSameTree(struc…

【时时三省】(C语言基础)函数的声明和定义

山不在高&#xff0c;有仙则名。水不在深&#xff0c;有龙则灵。 ——csdn时时三省 函数声明 1.告诉编译器有一个函数叫什么&#xff0c;参数是什么&#xff0c;返回类型是什么。但是具体是不是存在&#xff0c;无关紧要。 2.函数的声明一般出现在函数的使用之前。要满足先声…

视频监控汇聚平台LntonCVS安防管理平台构建互联网视频监控安全管理系统方案

随着互联网和人工智能技术的发展&#xff0c;我们致力于建设一种云端平台&#xff0c;统一整合各类二三类视频资源&#xff0c;实现对网络工程最后100米、10米甚至1米的全域覆盖。 依托互联网与VPN网络&#xff0c;我们提供了一种视频监控安全管理系统方案&#xff0c;集成了大…

SpringSecurity+Mysql数据库实现用户安全登录认证

Spring Security 是一个提供身份认证、授权和防范常见攻击的安全权限框架。无论是对命令式&#xff0c;还是响应式web应用程序都完美支持&#xff0c;现在主要用作保护基于 Spring 框架的应用程序的事实标准。相对于shiro来说&#xff0c;SpringSecurity功能更加复杂而且更加强…

深入浅出:可视化理解揭示决策树与梯度提升背后的数学原理

决策树是一种非参数的监督学习算法&#xff0c;可用于分类和回归。它使用类似树的结构来表示决策及其潜在结果。决策树易于理解和解释&#xff0c;并且可以轻松地进行可视化。但是当决策树模型变得过于复杂时&#xff0c;它不能很好地从训练数据中泛化&#xff0c;会导致过拟合…

64、ELK记录nginx、httpd、mysqld日志

logstash收集服务日志文件 一、logstash收集appache日志文件&#xff0c;转发到elasticsearch 1、建立在elk1、2、3搭建好elk架构基础之上192.168.168.61 es1 2/4g192.168.168.62 es2 2/4g192.168.168.63 logstash kibana nginx/http 4/8g三台开启服务systemctl s…

《数据结构》(C语言版)第1章 绪论(上)

第1章 绪论 1.1 数据结构的研究内容1.2 基本概念和术语 1.1 数据结构的研究内容 N.沃思&#xff08;Niklaus Wirth)教授提出&#xff1a; 程序算法数据结构 电子计算机的主要用途 早期&#xff1a;主要用于数值计算 后来&#xff1a;非数值计算&#xff0c;复杂的具有一定结构…

Gstreamer配合srs服务器实现RTMP直播和WebRtc直播

前言 上一篇文章,实现了配合腾讯云直播的推流,但是需要花钱,于是就在思考能不能搞一个局域网内,免费的RTMP直播呢? 最终发现了可以使用srs服务器。如果成功了,以后也可以使用webrtc的直播推流。 以下是实现效果: 一、搭建srs服务器: 参考:ubuntu环境下搭建SRS服务器(…

windows系统关闭开机自检硬盘

效果&#xff1a; 注册表关闭开机硬盘自检&#xff0c;你可以按照以下步骤操作&#xff1a; 打开注册表编辑器&#xff1a; 按 Win R 键打开“运行”对话框。输入 regedit 并按回车&#xff0c;打开注册表编辑器。 定位到自检相关的键&#xff1a; 依次展开以下路径&#x…

认识经典蓝牙

现在BLE很流行&#xff0c;本人接触BLE也更多&#xff0c;而对经典蓝牙BR/EDR的开发知之甚少&#xff0c;而且网上关于经典蓝牙的资料也很少&#xff0c;所以&#xff0c;想要有更多了解。 参考&#xff1a; https://www.nordicsemi.cn/news/bluetoothle-and-bluetoothclassic/…

mac|运行别人的SpringBoot+Vue项目

一、运行vue 1、查看项目版本&#xff0c;在package.json中查看&#xff0c;在dependencies中的vue就是对应的版本 2、查看本机的vue版本&#xff1a;vue -V 3、删除node_modules 、package-lock.json 4、运行npm install 如果卡住不动&#xff0c;可能是因为网络问题&…

EasyAR_稀疏空间图

EasyAR_稀疏空间图 EasyAR4.6.3 丨 Unity2020.3.15f2 1.创建稀疏空间地图 在EasyAR开发中心后台创建Scene许可证密钥&#xff0c;并且使用稀疏空间地图 2.设置稀疏空间地图库名&#xff0c;对稀疏空间地图进行管理&#xff0c;设置密钥 3.复制密钥到Unity中 添加Spatial Map Ap…