Mybatis的SQL注入

最新推荐文章于 2024-03-22 10:30:00 发布
最新推荐文章于 2024-03-22 10:30:00 发布
阅读量901 收藏
点赞数
文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79184324/article/details/133798850
版权

一、Mybatis的SQL注入

Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。

Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文件时,Mybatis支持两种参数符号,一种是#,另一种是$。比如:

<select id="queryAll"  resultMap="resultMap">  SELECT * FROM NEWS WHERE ID = #{id}</select>、

使用预编译,$使用拼接SQL。

Mybatis框架下易产生SQL注入漏洞的情况主要分为以下三种:

1、模糊查询

Select * from news where title like ‘%#{title}%’

在这种情况下使用#程序会报错,新手程序员就把#号改成了$,这样如果java代码层面没有对用户输入的内容做处理势必会产生SQL注入漏洞。

正确写法:

select * from news where tile like concat(‘%’,#{title}, ‘%’)

2、in 之后的多个参数

in之后多个id查询时使用# 同样会报错,

Select * from news where id in (#{ids})

正确用法为使用foreach,而不是将#替换为$

id in<foreach collection="ids" item="item" open="("separatosr="," close=")">#{ids} </foreach>

3、order by 之后

这种场景应当在Java层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在mybatis-generator自动生成的SQL语句中,order by使用的也是$,而like和in没有问题。

二、实战思路

我们使用一个开源的cms来分析,java sql注入问题适合使用反推,先搜索xml查找可能存在注入的漏洞点→反推到DAO→再到实现类→再通过调用链找到前台URL,找到利用点,话不多说走起

1、idea导入项目

Idea首页 点击Get from Version Control,输入https://gitee.com/mingSoft/MCMS.git

下载完成,等待maven把项目下载完成

2、搜索$关键字

Ctrl+shift+F 调出Find in Path,筛选后缀xml,搜索$关键字

根据文件名带Dao的xml为我们需要的,以IContentDao.xml为例,双击打开,ctrl +F 搜索$,查找到16个前三个为数据库选择,跳过,

继续往下看到疑似order by 暂时搁置

继续往下看发现多个普通拼接,此点更容易利用,我们以此为例深入,只查找ids从前端哪里传入

3、搜索映射对象

Mybatis 的select id对应要映射的对象名,我们以getSearchCount为关键字搜索映射的对象

搜到了IContentDao.java,IContentDaoimpl.java和McmsAction.java,分别对应映射的对象,对象的实现类和前端controler,直接跳转到controler类

发现只有categoryIds与目标参数ids相似,需进一步确认,返回到IContentDao.java按照标准流继续反推

找到ids为getSearchCount的最后一个参数,alt+f7查看调用链

调转到ContentBizImpl,确认前台参数为categoryIds

返回到McmsAction,参数由BasicUtil.getString接收,

跟进BasicUtil.getString

继续跳到SpringUtil.getRequest(),前端未做处理,sql注入实锤

4、漏洞确认

项目运行起来,构造sql语句http://localhost:8080/ms-mcms/mcms/search.do?categoryId=1%27)%20%20or+updatexml(1,concat(0x7e,(SELECT+%40%40version),0x7e),1)%23 得到mysql的版本5.7.27,验证注入存在。

三、总结

以上就是Mybatis的sql注入审计的基本方法,我们没有分析的几个点也有问题,新手可以尝试分析一下不同的注入点来实操一遍,相信会有更多的收获。当我们再遇到类似问题时可以考虑:

1、Mybatis框架下审计SQL注入,重点关注在三个方面like,in和order by
2、xml方式编写sql时,可以先筛选xml文件搜索$,逐个分析,要特别注意mybatis-generator的order by注入
3、Mybatis注解编写sql时方法类似
4、java层面应该做好参数检查,假定用户输入均为恶意输入,防范潜在的攻击
YLL774
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
MyBatis是如何解决Sql注入
weixin_34376562的博客
07-18 183
转:【转】mybatis如何防止sql注入   java中预处理PrepareStatement为什么能起到防止SQL注入的作用??!! 一、SQL注入   sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的...
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
最新发布
m0_59598029的博客
03-22 854
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Mybatis框架下SQL注入漏洞处理
热门推荐
aosica321的专栏
02-23 1万+
来源:http://www.open-open.com/lib/view/open1474963603800.html            http://mp.weixin.qq.com/s?__biz=MjM5OTk2MTMxOQ==&mid=2727827368&idx=1&sn=765d0835f0069b5145523c31e8229850&mpshare=1&scene=1&srci
mybatissql_mybatis解决sql注入
12-22
全新的sql框架
mybatis防止SQL注入的方法实例详解
08-27
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。那么mybatis是如何防止SQL注入的呢?下面脚本之家小编给大家带来了实例代码,需要的朋友参考下吧
java编程学习笔记——mybatis SQL注入问题
Java进阶之路的博客
08-30 743
SQL 注入攻击  首先了解下概念,什么叫SQL 注入:  SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。  最常见的就是我们在应用程序中使用字符串联结...
MyBatisSQL注入
猎户星座
12-05 634
一、Mybatis SQL注入防护原理 sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安...
mybatis ${} sql注入
心帆唯一的专栏
04-28 8922
mybatis中${}的sql注入解决方案 主要解决sql的like 、in 、order by 注入问题,其他查询也可以参照下面解决建议 首先#{}和${}在预编译中的处理是不一样的。 #{}在预处理时,会把参数部分用一个占位符 ?代替,变成如下的sql语句: select * from user where name = ?; ${}则只是简单的字符串替换,在动态解析
mybatissql注入
学习天地
08-29 1434
mybatis中的sql注入:  #{id} : #号,启用预编译功能,执行前会先将sql发送给数据库进行编译,执行时,直接使用编译好的sql替换占位符?即可。用的是PreparedStatement  ${table}:${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。这个必须手动处理过滤一下输入的内容。 下面介绍几种查询避免sql注入的案例 1.模糊查询like的两种...
Mybatis框架sql注入
JD san的博客
09-27 544
https://blog.csdn.net/weixin_39986856/article/details/83651847 在MyBatis中,“ $ {xxx}”这样格式的参数会直接参与SQL 编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用$ {xxx}“这样的参数格式。所以,这样的参数需要我们在代码中手工进行处理来防止注入。 【结论】在编写MyBatis的映射语句时,尽量采用...
java持久层框架mybatis防止sql注入的方法
09-01
下面小编就为大家带来一篇java持久层框架mybatis防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis防止sql注入的实例
08-30
本文通过实例给大家介绍了Mybatis防止sql注入的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
MyBatisPlus中全局Sql注入器应用_逻辑删除使用示例代码
04-27
MyBatisPlus中全局Sql注入器应用_逻辑删除使用示例代码
如何解决SQL注入MyBatis如何解决了SQL注入的问题?#和$的差异?
zwb的博客
04-12 451
1,SQL注入,是指通过字符串拼接的方式构成了一种特殊的查询语句 比如:select * from t_user where usename=’’ and password=’’ ’ or 1=1 # select * from t_user where usename=’’ or 1=1 # ’ and password=’’ 2,解决方案 采用预处理对象,采用PreparedStatement对象,而不是Statement对象,可以解决SQL注入的问题 另外也可以提高执行效率,因为是预先编译执行 SQL
MybatisSQL注入
浩瀚银河
10-16 2348
1.简述 1.1.什么是SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 2.SQL注入案例(Jdbc) 2.1.建表语句 create table user_mybatis( id int Primary key, ...
MybatisPlus如何解决SQL注入(必看)
海的那边,还是海吗
09-22 5408
在深入讨论如何防止 SQL 注入之前,让我们首先了解 SQL 注入攻击的工作原理。SQL 注入攻击通常发生在接受用户输入的地方,例如搜索框、登录表单等,攻击者试图在输入中注入恶意 SQL 代码。SELECT * FROM users WHERE username = '输入的用户名' AND password = '输入的密码';如果攻击者输入这将使查询始终返回所有用户的记录,因为'1'='1'始终为真。攻击者可以通过这种方式绕过身份验证,获取或修改敏感数据。
Mybatissql注入问题
mazhongjia的博客
01-08 902
一、sql注入概念 SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序中数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 二、sql注入举例 最常见的就是我们在应用程序中使用字符串联结方式组合 SQL 指令,有心之人就会写一些特殊的符号,恶意...
mybatisSQL注入研究
ssdaxiner的博客
11-24 264
struts2 + mybatis + mysqlSQL手工注入研究
mybatis sql注入
09-12
MyBatis是一个开源的持久层框架,它提供了一种将SQL语句与Java代码解耦的方式。尽管MyBatis是一个相对安全的框架,但在使用过程中,仍存在可能发生SQL注入攻击的风险。 要防止MyBatis SQL注入攻击,可以采取以下几种方法: 1. 使用参数化查询(Prepared Statement):确保所有的用户输入参数都通过参数占位符的方式传递到SQL语句中,而不是直接拼接到SQL语句中。这样可以避免恶意用户输入特殊字符来破坏SQL语句结构。 2. 输入验证和过滤:在接收用户输入之前,对输入进行合法性验证和过滤。可以使用正则表达式、白名单或黑名单等方式来限制输入内容的合法范围,并过滤掉可能造成SQL注入的特殊字符。 3. 使用MyBatis的动态SQL功能:MyBatis提供了动态SQL功能,可以根据不同的条件动态拼接SQL语句。在使用动态SQL时,应该使用MyBatis提供的安全方法来拼接字符串,而不是直接拼接用户输入。 4. 限制数据库权限:为数据库用户设置合适的权限,最小化其对数据库的操作权限。这样即使发生注入攻击,攻击者也只能对具有限制权限的数据进行操作。 5. 定期更新MyBatis版本:及时关注MyBatis的更新和安全公告,及时更新到最新版本,以获取最新的安全修复和功能改进。 总之,为了防止MyBatis SQL注入攻击,需要使用参数化查询、输入验证和过滤、动态SQL、限制数据库权限以及定期更新MyBatis版本等多种手段来综合保护系统安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值