返回顶部
首页 > 资讯 > 精选 >Java安全编码SQL该怎样注入
  • 501
分享到

Java安全编码SQL该怎样注入

2023-06-17 04:06:11 501人浏览 独家记忆
摘要

Java安全编码sql该怎样注入,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。随着互联网的发展,Java语言在金融服务业、电子商务、大数据技术等方面的应用极其广泛。Java

Java安全编码sql该怎样注入,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。

随着互联网的发展,Java语言在金融服务业、电子商务、大数据技术等方面的应用极其广泛。Java安全编码规范早已成为SDL中不可或缺的一部分。本文以Java项目广泛采用的两个框架Hibernate和mybatis  为例来介绍,如何在编码过程中避免SQL注入的几种编码方法,包括对预编译的深度解析,以及对预编译理解的几个“误区”进行了解释。

目前Hibernate和MyBatis为java项目广泛采用的两个框架。由于Hibernate使用方便,以前的项目采用Hibernate非常的广泛,但是后面由于Hibernate的侵入式特性,后面慢慢被MyBatis所取代  。下面我们会以SpringBoot为基础,分别搭建Hibernate和MyBatis的漏洞环境。

2. 配置说明

springBoot采用2.3.1.RELEASE,MySQL版本为5.7.20。数据库有一张表user_tbl。数据如下:

Java安全编码SQL该怎样注入

3. Hibernate

Hibernate 是一个开放源代码的对象关系映射框架,它对 JDBC 进行了非常轻量级的对象封装,是一个全自动的 ORM 框架。Hibernate  自动生成 SQL 语句,自动执行。

(1) 环境搭建

结构如下,ctl为控制层,service为服务层,dao为持久层。为了方便没有按照标准的接口实现,我们只关注漏洞的部分。

Java安全编码SQL该怎样注入

Beans下User.java对用为user_tbl表结构。

Java安全编码SQL该怎样注入

我们使用/inject 接口,p为接受外部的参数,来查询User的列表,使用fastJSON来格化式输出。

Java安全编码SQL该怎样注入

我们回到dao层。

1)SQL注入

SQL注入我们使用字符串拼接方式:

Java安全编码SQL该怎样注入

访问Http://localhost:8080/inject?p=m 直接用SQLMap跑一下:

Java安全编码SQL该怎样注入

很容易就注入出数据来了。

2)HQL注入

HQL(Hibernate Query Language)是Hibernate专门用于查询数据的语句,有别于SQL,HQL  更接近于面向对象的思维方式。表名就是对应我们上面的entity配置的。HQL注入利用比SQL注入利用难度大,比如一般程序员不会对系统表进行映射,那么通过系统表获取属性的几乎不可能的,同时由于HQL对于复杂的语句支持比较差,对攻击者来说需要花费更多时间去构造可用的payload,更多详细的语法可以参考:

https://docs.huihoo.com/Hibernate/reference-v3_zh-cn/queryhql.html

Java安全编码SQL该怎样注入

3)预编译

我们使用setParameter的方式,也就是我们熟知的预编译的方式。

Query query = (Query) this.entityManager.createQuery("from User u where u.userName like :userName ",User.class);  query.setParameter("userName","%"+username+"%");

访问http://localhost:8080/inject?p=m后得到正常结果。

Java安全编码SQL该怎样注入

执行注入语句:

http://localhost:8080/inject?p=m’ or ‘1’ like ‘1 返回为空。

Java安全编码SQL该怎样注入

我们来看看setParameter的方式到底对我们的SQL语句做了什么。我们将断点打至Loader.class的bindPreparedStatement。发现通过预编译后,SQL变为了:

select user0_.id as id1_0_, user0_.passWord as password2_0_, user0_.username as username3_0_ from user_tbl user0_ where user0_.username like '%'' or ''1'' like ''1%',

然后交给hikari处理。发现将我们的单引号变成了两个单引号,也就是说把传入的数据变为字符串。

Java安全编码SQL该怎样注入

将断点断至Mysql-connector-java(也就是我们熟知的JDBC驱动包)的ClientPreparedQueryBindings.setString.这里就是参数设置的地方。

Java安全编码SQL该怎样注入

看一下算法

String parameterAsString = x;              boolean needsQuoted = true;              if (this.isLoadDataQuery || this.isEscapeNeededForString(x, stringLength)) {                  needsQuoted = false;                  StringBuilder buf = new StringBuilder((int)((double)x.length() * 1.1D));                  buf.append('\'');                  for(int i = 0; i < stringLength; ++i) {                      char c = x.charAt(i);                      switch(c) {                      case '\u0000':                          buf.append('\\');                          buf.append('0');                          break;                      case '\n':                          buf.append('\\');                          buf.append('n');                          break;                      case '\r':                          buf.append('\\');                          buf.append('r');                          break;                      case '\u001a':                          buf.append('\\');                          buf.append('Z');                          break;                      case '"':                          if (this.session.getServerSession().useAnsiQuotedIdentifiers()) {                              buf.append('\\');                          }                          buf.append('"');                          break;                      case '\'':                          buf.append('\'');                          buf.append('\'');                          break;                      case '\\':                          buf.append('\\');                          buf.append('\\');                          break;                      case '&yen;':                      case '₩':                          if (this.charsetEncoder != null) {                              CharBuffer cbuf = CharBuffer.allocate(1);                              ByteBuffer bbuf = ByteBuffer.allocate(1);                              cbuf.put(c);                              cbuf.position(0);                              this.charsetEncoder.encode(cbuf, bbuf, true);                              if (bbuf.get(0) == 92) {                                  buf.append('\\');                              }                          }                          buf.append(c);                          break;                      default:                          buf.append(c);                      }                  }                  buf.append('\'');

可以看到mysql-connector-java主要是将将我们&rsquo;转为了&rsquo;&rsquo;,对于转义的\会变为\\,比如对于这种SQL:

SELECT user0_.id AS id1_0_,user0_. PASSWORD AS password2_0_,user0_.username AS username3_0_  FROM user_tbl user0_ WHERE user0_.username LIKE '%\' or username = 0x6d #%'

也会变为:

SELECT user0_.id AS id1_0_,user0_. PASSWORD AS password2_0_,user0_.username AS username3_0_  FROM user_tbl user0_ WHERE user0_.username LIKE '%\\'' or username = 0x6d #%'

有人会说那我们使用select * from user_tbl where id = 1 and user() =  0x726f6f74406c6f63616c686f7374  这种类似的语句,全程没有jdbc里面的危险字符是不是就可以绕过了?mysql-connector-java里面有个非常巧妙的点是,他会根据你传入的类型判断。比如传入的为int类型。就会走setInt。传入的为string就会走setString。所以这段语句还是会被select  * from user_tbl where id = 1 &lsquo;and user() = 0x726f6f74406c6f63616c686f7374&rsquo;

我们看到SQL预编译的算法也是非常简单。

4. MyBatis

MyBatis是一流的持久性框架,支持自定义SQL,存储过程和高级映射。MyBatis可以使用简单的XML或注释进行配置。现在目前国内大部分公司都是采用的MyBatis框架。

(1) 环境搭建:

下面为我们项目目录结构:

Java安全编码SQL该怎样注入

(2) 使用#{}的方式

#{}也就是我们熟知的预编译方式。

Java安全编码SQL该怎样注入

访问http://localhost:8080/getList?p=m 后正常的返回:

Java安全编码SQL该怎样注入

使用http://localhost:8080/getList?p=m' or &lsquo;1&rsquo; like &lsquo;1

结果返回为空。不存在注入。

我们将断点断在PreparedStatementLogger的invoke方法上面,其实这里就是一个代理方法。这里我们看到完整的SQL语句。

Java安全编码SQL该怎样注入

同样我们将断点断在:ClientPreparedQueryBindings.setString同样会进去

Java安全编码SQL该怎样注入

Hibernate和MyBatis的预编译机制是一样的。

(3) 使用${}的方式

${}的方式也就是MyBatis的字符串连接方式。

Java安全编码SQL该怎样注入

使用SQLMap很容易就能跑出数据:

Java安全编码SQL该怎样注入

(4) 关于OrderBy

之前有听人说Order By后面的语句是不会参与预编译?这句话是错误的。Order  By也是会参与预编译的。从我们上面的jdbc的setString算法可以看到,是因为setString会在参数的前后加上&rsquo;&rsquo;,变成字符串。导致Order  By失去了原本的意义。只能说是预编译方式的Order By不适用而已。所以对于这种Order By的防御的话建议是直接写死在代码里面。对于Order  By方式的注入我们可以通过返回数据的顺序的不同来获取数据。

Java安全编码SQL该怎样注入

(5) 关于useServerPrepStmts

其实在只有JDBC在开启了useServerPrepStmts=true的情况下才算是真正的预编译。但是如果是字符串的拼接方式,预编译是没有效果的。从MySQL的查询日志就可以开看到。可以看到Prepare的语句。一样是存在SQL注入的。

Java安全编码SQL该怎样注入

我们使用占位符的方式:

Java安全编码SQL该怎样注入

上面的语句就不存在SQL注入了。

我想这就是JDBC默认为啥不开启useServerPrepStmts=true的原因吧。

关于Java安全编码SQL该怎样注入问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注编程网精选频道了解更多相关知识。

--结束END--

本文标题: Java安全编码SQL该怎样注入

本文链接: https://lsjlt.com/news/287111.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com    QQ/279061341

猜你喜欢
  • Java安全编码SQL该怎样注入
    Java安全编码SQL该怎样注入,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。随着互联网的发展,Java语言在金融服务业、电子商务、大数据技术等方面的应用极其广泛。Java...
    99+
    2023-06-17
  • 怎样避免sql注入
    为了避免 sql 注入攻击,可以采取以下步骤:使用参数化查询以防止恶意代码注入。转义特殊字符以避免它们破坏 sql 查询语法。对照白名单验证用户输入以确保安全。实施输入验证以检查用户输入...
    99+
    2024-06-17
    敏感数据
  • SQL注入全过程的深入分析是怎样的
    这篇文章将为大家详细讲解有关SQL注入全过程的深入分析是怎样的,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。分析了SQL注入全过程,具体如下:初步注入--绕...
    99+
    2024-04-02
  • java防sql注入代码怎么写
    为了防止SQL注入攻击,您可以采取以下Java代码编写方法:1. 使用预编译的语句和参数化查询。```javaString sql ...
    99+
    2023-08-25
    java sql
  • 代码注入(web安全入门)
    一、原理以及成因 php 代码执行(注入)是指应用程序过滤不严,用户可以 http 通过请求将代码注入到应用中执行。 代码执行(注入)类似于 SQL 注入漏洞,SQLi 是将 SQL 语句注入到数据库...
    99+
    2023-09-09
    web安全 php 安全
  • PHP 代码安全:针对 SQL 注入的防范措施
    为了防止 php 中的 sql 注入漏洞,可以采取以下措施:使用参数化查询,将用户输入与 sql 语句分开处理。转义用户输入,防止特殊字符被解释为查询的一部分。使用白名单验证,仅允许预定...
    99+
    2024-05-10
    mysql
  • sql预编译怎么防sql注入
    预编译SQL语句是一种防止SQL注入攻击的有效方法。下面是一些预编译SQL语句的示例: 使用参数化查询:在预编译SQL语句中,通常...
    99+
    2024-05-06
    sql
  • sql注入漏洞怎样防止
    为了防止 sql 注入漏洞,组织应采取以下步骤:使用参数化查询替换敏感数据。验证数据输入的格式和字符。限制用户输入的字符列表。转义特殊字符以避免被解释为 sql 命令。使用预编译的存储过...
    99+
    2024-06-17
    敏感数据
  • Python安全编码与代码审计是怎样的
    这篇文章给大家介绍Python安全编码与代码审计是怎样的,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。1 前言现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致...
    99+
    2023-06-17
  • MySQL 安全及防止 SQL 注入攻击
    如果通过网页获取用户输入的数据并将其插入 MySQL 数据库,那么就有可能发生 SQL注入攻击的安全问题 作为研发,有一条铁律需要记住,那就是 永远不要相信用户的数据,哪怕他一再承诺是安全的 SQL 注入式攻击 SQL 注入,就是通过把 S...
    99+
    2023-10-06
    mysql 安全 sql
  • Java编程语言中注意线程安全和同步是怎样的
    这篇文章给大家介绍Java编程语言中注意线程安全和同步是怎样的,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。Java编程语言对于使用者来说是一个相当简单的编程语言。但是在使用的时候还是需要我们不断注意相关问题,下面我们...
    99+
    2023-06-17
  • web安全之防止SQL注入的方法
    小编给大家分享一下web安全之防止SQL注入的方法,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!SQL注入,就是通过把SQL命令...
    99+
    2024-04-02
  • 如何解决SQL注入的安全问题
    这篇文章主要为大家展示了“如何解决SQL注入的安全问题”,内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让小编带领大家一起研究并学习一下“如何解决SQL注入的安全问题”这篇文章吧。黑名单过滤技术1、...
    99+
    2024-04-02
  • Python代码审计中的SQL和ORM注入是怎样的
    本篇文章为大家展示了Python代码审计中的SQL和ORM注入是怎样的,内容简明扼要并且容易理解,绝对能使你眼前一亮,通过这篇文章的详细介绍希望你能有所收获。Python代码审计方法多种多样,但是总而言之是根据前人思路的迁移融合扩展而形成。...
    99+
    2023-06-17
  • 如何编写安全的PL/SQL代码
    编写安全的PL/SQL代码是非常重要的,以下是一些编写安全的PL/SQL代码的建议: 避免使用动态SQL:尽量避免使用动态SQL...
    99+
    2024-05-07
    PL/SQL
  • Java中怎么避免sql注入
    小编给大家分享一下Java中怎么避免sql注入,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!前言sql注入是web开发中最常见的一种安全漏洞。可以用它来从数据库获...
    99+
    2023-06-26
  • 防御SQL注入的方法是怎样的
    本篇文章给大家分享的是有关防御SQL注入的方法是怎样的,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。SQL 注入是一类危害极大的攻击形式。虽然...
    99+
    2024-04-02
  • 对某私服页游的SQL注入安全测试
    站点信息 登陆页面:http://9*.9*.9*.9*:99/index.php 充值后台:http://o*.****.com:99/login.php(后面发现并非同一个站点) 目标 登陆管理员...
    99+
    2023-09-06
    sql php
  • ASP Web 安全性:如何防止SQL注入攻击
    一、理解SQL注入攻击 SQL注入攻击是一种常见的安全威胁,攻击者通过在用户输入中植入恶意SQL查询代码,欺骗应用程序执行这些查询,进而窃取敏感数据、篡改数据或执行恶意操作。 二、防止SQL注入攻击的方法 使用参数化查询 参数化查询...
    99+
    2024-02-13
    SQL注入攻击 参数化查询 用户输入验证 应用程序安全
  • 网络安全及防御之SQL注入原理介绍
    目录A.SQL注入概述什么是SQL注入SQL注入的原理SQL注入的地位SQL注入的来源SQL注入的主要特点SQL注入的危害B.SQL注入攻击SQL注入攻击SQL注入威胁表达方式SQL...
    99+
    2024-04-02
软考高级职称资格查询
编程网,编程工程师的家园,是目前国内优秀的开源技术社区之一,形成了由开源软件库、代码分享、资讯、协作翻译、讨论区和博客等几大频道内容,为IT开发者提供了一个发现、使用、并交流开源技术的平台。
  • 官方手机版

  • 微信公众号

  • 商务合作