日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Java安全編碼之SQL注入

隨著互聯(lián)網(wǎng)的發(fā)展,Java語言在金融服務業(yè)、電子商務、大數(shù)據(jù)技術(shù)等方面的應用極其廣泛。Java安全編碼規(guī)范早已成為SDL中不可或缺的一部分。本文以Java項目廣泛采用的兩個框架Hibernate和MyBatis 為例來介紹,如何在編碼過程中避免SQL注入的幾種編碼方法,包括對預編譯的深度解析,以及對預編譯理解的幾個“誤區(qū)”進行了解釋。

創(chuàng)新互聯(lián)建站是專業(yè)的安吉網(wǎng)站建設公司,安吉接單;提供網(wǎng)站設計、做網(wǎng)站,網(wǎng)頁設計,網(wǎng)站設計,建網(wǎng)站,PHP網(wǎng)站建設等專業(yè)做網(wǎng)站服務;采用PHP框架,可快速的進行安吉網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團隊,希望更多企業(yè)前來合作!

備注,本文是Java語言安全編碼會是系列文章的第一篇。

1. 框架介紹

目前Hibernate和MyBatis為java項目廣泛采用的兩個框架。由于Hibernate使用方便,以前的項目采用Hibernate非常的廣泛,但是后面由于Hibernate的侵入式特性,后面慢慢被MyBatis所取代 。下面我們會以SpringBoot為基礎,分別搭建Hibernate和MyBatis的漏洞環(huán)境。

2. 配置說明

SpringBoot采用2.3.1.RELEASE,MySQL版本為5.7.20。數(shù)據(jù)庫有一張表user_tbl。數(shù)據(jù)如下:

3. Hibernate

Hibernate 是一個開放源代碼的對象關系映射框架,它對 JDBC 進行了非常輕量級的對象封裝,是一個全自動的 ORM 框架。Hibernate 自動生成 SQL 語句,自動執(zhí)行。

(1) 環(huán)境搭建

結(jié)構(gòu)如下,ctl為控制層,service為服務層,dao為持久層。為了方便沒有按照標準的接口實現(xiàn),我們只關注漏洞的部分。

Beans下User.java對用為user_tbl表結(jié)構(gòu)。

我們使用/inject 接口,p為接受外部的參數(shù),來查詢User的列表,使用fastjson來格化式輸出。

我們回到dao層。

1)SQL注入

SQL注入我們使用字符串拼接方式:

訪問http://localhost:8080/inject?p=m 直接用SQLMap跑一下:

很容易就注入出數(shù)據(jù)來了。

2)HQL注入

HQL(Hibernate Query Language)是Hibernate專門用于查詢數(shù)據(jù)的語句,有別于SQL,HQL 更接近于面向?qū)ο蟮乃季S方式。表名就是對應我們上面的entity配置的。HQL注入利用比SQL注入利用難度大,比如一般程序員不會對系統(tǒng)表進行映射,那么通過系統(tǒng)表獲取屬性的幾乎不可能的,同時由于HQL對于復雜的語句支持比較差,對攻擊者來說需要花費更多時間去構(gòu)造可用的payload,更多詳細的語法可以參考:

https://docs.huihoo.com/Hibernate/reference-v3_zh-cn/queryhql.html

3)預編譯

我們使用setParameter的方式,也就是我們熟知的預編譯的方式。

 
 
 
    
  
  
  
  1. Query query = (Query) this.entityManager.createQuery("from User u where u.userName like :userName ",User.class);  
    2. 
  
  
  
  2. query.setParameter("userName","%"+username+"%"); 
    3.

訪問http://localhost:8080/inject?p=m后得到正常結(jié)果。

執(zhí)行注入語句:

http://localhost:8080/inject?p=m’ or ‘1’ like ‘1 返回為空。

我們來看看setParameter的方式到底對我們的SQL語句做了什么。我們將斷點打至Loader.class的bindPreparedStatement。發(fā)現(xiàn)通過預編譯后,SQL變?yōu)榱耍?/p> 

 
 
 
    
  
  
  
  1. select user0_.id as id1_0_, user0_.password as password2_0_, user0_.username as username3_0_ from user_tbl user0_ where user0_.username like '%'' or ''1'' like ''1%', 
    2.

然后交給hikari處理。發(fā)現(xiàn)將我們的單引號變成了兩個單引號,也就是說把傳入的數(shù)據(jù)變?yōu)樽址?/p>

將斷點斷至mysql-connector-java(也就是我們熟知的JDBC驅(qū)動包)的ClientPreparedQueryBindings.setString.這里就是參數(shù)設置的地方。

看一下算法:

 
 
 
    
  
  
  
  1. String parameterAsString = x; 
    2. 
  
  
  
  2.  
    3. 
  
  
  
  3.             boolean needsQuoted = true; 
    4. 
  
  
  
  4.  
    5. 
  
  
  
  5.             if (this.isLoadDataQuery || this.isEscapeNeededForString(x, stringLength)) { 
    6. 
  
  
  
  6.  
    7. 
  
  
  
  7.                 needsQuoted = false; 
    8. 
  
  
  
  8.  
    9. 
  
  
  
  9.                 StringBuilder buf = new StringBuilder((int)((double)x.length() * 1.1D)); 
    10. 
  
  
  
  10.  
    11. 
  
  
  
  11.                 buf.append('\''); 
    12. 
  
  
  
  12.  
    13. 
  
  
  
  13.                 for(int i = 0; i < stringLength; ++i) { 
    14. 
  
  
  
  14.  
    15. 
  
  
  
  15.                     char c = x.charAt(i); 
    16. 
  
  
  
  16.  
    17. 
  
  
  
  17.                     switch(c) { 
    18. 
  
  
  
  18.  
    19. 
  
  
  
  19.                     case '\u0000': 
    20. 
  
  
  
  20.  
    21. 
  
  
  
  21.                         buf.append('\\'); 
    22. 
  
  
  
  22.  
    23. 
  
  
  
  23.                         buf.append('0'); 
    24. 
  
  
  
  24.  
    25. 
  
  
  
  25.                         break; 
    26. 
  
  
  
  26.  
    27. 
  
  
  
  27.                     case '\n': 
    28. 
  
  
  
  28.  
    29. 
  
  
  
  29.                         buf.append('\\'); 
    30. 
  
  
  
  30.  
    31. 
  
  
  
  31.                         buf.append('n'); 
    32. 
  
  
  
  32.  
    33. 
  
  
  
  33.                         break; 
    34. 
  
  
  
  34.  
    35. 
  
  
  
  35.                     case '\r': 
    36. 
  
  
  
  36.  
    37. 
  
  
  
  37.                         buf.append('\\'); 
    38. 
  
  
  
  38.  
    39. 
  
  
  
  39.                         buf.append('r'); 
    40. 
  
  
  
  40.  
    41. 
  
  
  
  41.                         break; 
    42. 
  
  
  
  42.  
    43. 
  
  
  
  43.                     case '\u001a': 
    44. 
  
  
  
  44.  
    45. 
  
  
  
  45.                         buf.append('\\'); 
    46. 
  
  
  
  46.  
    47. 
  
  
  
  47.                         buf.append('Z'); 
    48. 
  
  
  
  48.  
    49. 
  
  
  
  49.                         break; 
    50. 
  
  
  
  50.  
    51. 
  
  
  
  51.                     case '"': 
    52. 
  
  
  
  52.  
    53. 
  
  
  
  53.                         if (this.session.getServerSession().useAnsiQuotedIdentifiers()) { 
    54. 
  
  
  
  54.  
    55. 
  
  
  
  55.                             buf.append('\\'); 
    56. 
  
  
  
  56.  
    57. 
  
  
  
  57.                         } 
    58. 
  
  
  
  58.  
    59. 
  
  
  
  59.                         buf.append('"'); 
    60. 
  
  
  
  60.  
    61. 
  
  
  
  61.                         break; 
    62. 
  
  
  
  62.  
    63. 
  
  
  
  63.                     case '\'': 
    64. 
  
  
  
  64.  
    65. 
  
  
  
  65.                         buf.append('\''); 
    66. 
  
  
  
  66.  
    67. 
  
  
  
  67.                         buf.append('\''); 
    68. 
  
  
  
  68.  
    69. 
  
  
  
  69.                         break; 
    70. 
  
  
  
  70.  
    71. 
  
  
  
  71.                     case '\\': 
    72. 
  
  
  
  72.  
    73. 
  
  
  
  73.                         buf.append('\\'); 
    74. 
  
  
  
  74.  
    75. 
  
  
  
  75.                         buf.append('\\'); 
    76. 
  
  
  
  76.  
    77. 
  
  
  
  77.                         break; 
    78. 
  
  
  
  78.  
    79. 
  
  
  
  79.                     case '¥': 
    80. 
  
  
  
  80.  
    81. 
  
  
  
  81.                     case '?': 
    82. 
  
  
  
  82.  
    83. 
  
  
  
  83.                         if (this.charsetEncoder != null) { 
    84. 
  
  
  
  84.  
    85. 
  
  
  
  85.                             CharBuffer cbuf = CharBuffer.allocate(1); 
    86. 
  
  
  
  86.  
    87. 
  
  
  
  87.                             ByteBuffer bbuf = ByteBuffer.allocate(1); 
    88. 
  
  
  
  88.  
    89. 
  
  
  
  89.                             cbuf.put(c); 
    90. 
  
  
  
  90.  
    91. 
  
  
  
  91.                             cbuf.position(0); 
    92. 
  
  
  
  92.  
    93. 
  
  
  
  93.                             this.charsetEncoder.encode(cbuf, bbuf, true); 
    94. 
  
  
  
  94.  
    95. 
  
  
  
  95.                             if (bbuf.get(0) == 92) { 
    96. 
  
  
  
  96.  
    97. 
  
  
  
  97.                                 buf.append('\\'); 
    98. 
  
  
  
  98.  
    99. 
  
  
  
  99.                             } 
    100. 
  
  
  
  100.  
    101. 
  
  
  
  101.                         } 
    102. 
  
  
  
  102.  
    103. 
  
  
  
  103.                         buf.append(c); 
    104. 
  
  
  
  104.  
    105. 
  
  
  
  105.                         break; 
    106. 
  
  
  
  106.  
    107. 
  
  
  
  107.                     default: 
    108. 
  
  
  
  108.  
    109. 
  
  
  
  109.                         buf.append(c); 
    110. 
  
  
  
  110.  
    111. 
  
  
  
  111.                     } 
    112. 
  
  
  
  112.  
    113. 
  
  
  
  113.                 } 
    114. 
  
  
  
  114.  
    115. 
  
  
  
  115.                 buf.append('\''); 
    116.

可以看到mysql-connector-java主要是將將我們’轉(zhuǎn)為了’’,對于轉(zhuǎn)義的\會變?yōu)閈\,比如對于這種SQL:

 
 
 
    
  
  
  
  1. SELECT user0_.id AS id1_0_,user0_. PASSWORD AS password2_0_,user0_.username AS username3_0_ 
    2. 
  
  
  
  2.  
    3. 
  
  
  
  3. FROM user_tbl user0_ WHERE user0_.username LIKE '%\' or username = 0x6d #%' 
    4.

也會變?yōu)椋?/p> 

 
 
 
    
  
  
  
  1. SELECT user0_.id AS id1_0_,user0_. PASSWORD AS password2_0_,user0_.username AS username3_0_ 
    2. 
  
  
  
  2.  
    3. 
  
  
  
  3. FROM user_tbl user0_ WHERE user0_.username LIKE '%\\'' or username = 0x6d #%' 
    4.

有人會說那我們使用select * from user_tbl where id = 1 and user() = 0x726f6f74406c6f63616c686f7374 這種類似的語句,全程沒有jdbc里面的危險字符是不是就可以繞過了?mysql-connector-java里面有個非常巧妙的點是,他會根據(jù)你傳入的類型判斷。比如傳入的為int類型。就會走setInt。傳入的為string就會走setString。所以這段語句還是會被select * from user_tbl where id = 1 ‘a(chǎn)nd user() = 0x726f6f74406c6f63616c686f7374’

我們看到SQL預編譯的算法也是非常簡單。

4. MyBatis

MyBatis是一流的持久性框架,支持自定義SQL,存儲過程和高級映射。MyBatis可以使用簡單的XML或注釋進行配置?,F(xiàn)在目前國內(nèi)大部分公司都是采用的MyBatis框架。

(1) 環(huán)境搭建:

下面為我們項目目錄結(jié)構(gòu):

(2) 使用#{}的方式

#{}也就是我們熟知的預編譯方式。

訪問http://localhost:8080/getList?p=m 后正常的返回:

使用http://localhost:8080/getList?p=m' or ‘1’ like ‘1

結(jié)果返回為空。不存在注入。

我們將斷點斷在PreparedStatementLogger的invoke方法上面,其實這里就是一個代理方法。這里我們看到完整的SQL語句。

同樣我們將斷點斷在:ClientPreparedQueryBindings.setString同樣會進去

Hibernate和MyBatis的預編譯機制是一樣的。

(3) 使用${}的方式

${}的方式也就是MyBatis的字符串連接方式。

使用SQLMap很容易就能跑出數(shù)據(jù):

(4) 關于OrderBy

之前有聽人說Order By后面的語句是不會參與預編譯?這句話是錯誤的。Order By也是會參與預編譯的。從我們上面的jdbc的setString算法可以看到,是因為setString會在參數(shù)的前后加上’’,變成字符串。導致Order By失去了原本的意義。只能說是預編譯方式的Order By不適用而已。所以對于這種Order By的防御的話建議是直接寫死在代碼里面。對于Order By方式的注入我們可以通過返回數(shù)據(jù)的順序的不同來獲取數(shù)據(jù)。

(5) 關于useServerPrepStmts

其實在只有JDBC在開啟了useServerPrepStmts=true的情況下才算是真正的預編譯。但是如果是字符串的拼接方式,預編譯是沒有效果的。從MySQL的查詢?nèi)罩揪涂梢蚤_看到??梢钥吹絇repare的語句。一樣是存在SQL注入的。

我們使用占位符的方式:

上面的語句就不存在SQL注入了。

我想這就是JDBC默認為啥不開啟useServerPrepStmts=true的原因吧。

5. 總結(jié)

在能使用預編譯的情況下我們應該要使用預編譯。在不能使用預編譯的情況下,可以對特定類型做規(guī)范,比如傳數(shù)字的需要規(guī)范為Integer,Long等。這樣會在進入數(shù)據(jù)庫前會提前拋出異常?;蛘呤褂肧pring的AOP機制,添加一個前置的fitler,對有害的字符清洗或者過濾。但是這樣有點籠統(tǒng),會對全局參數(shù)進行清洗。

還有一種比較好的方式是,通過注解的方式,這樣會比較方便,可復用性也很好。對不能進行預編譯的參數(shù)加上過濾有害字符的注解。我們就不在這里做代碼的實現(xiàn),網(wǎng)上有很多可以參考的教程??梢允褂肁pache Jakarta Commons提供的很多方便的方法來過濾有害字符。


網(wǎng)站標題:Java安全編碼之SQL注入
文章轉(zhuǎn)載:http://m.5511xx.com/article/dpeipjg.html