0x00:介绍
ORM 注入是 Object Relational Mapping 的缩写,翻译过来就是对象关系映射。ORM 是写程序时的一种写法,以前写程序查数据库的时候都是代码加 sql 语句写到一起,程序庞大后就很难管理,很难维护。后来就把程序和 sql 语句分开了。同时 ORM 把 sql 的写法进行了封装,程序调用更为方便,能让程序员真正的去关注逻辑层代码,去面向对象编程。
0x01:测试
ORM 就是实现了这种写法的框架,这个框架例如 java 中的 hibernate、mybatis。理论上框架都对注入进行了防护,可以有效的防止注入。但也有一部分开发写程序时使用了 ORM 框架,但编写 sql 语句时可能因为开发方便或者业务需求等需要用原生 sql 来写,这样但数据和 sql 进行拼接后变产生了注入,其原理和 sql 注入类似。
在测试过程中,对于黑盒测试,其测试方法和 sql 语句的测试方法一样,可以用 sqlmap 也可以手工测试。对于白盒测试可以更有效的发现 orm 注入,程序使用了 orm 框架处理业务,但使用 sql 语句时使用了拼接,那么可能就会存在问题。
0x02:示例
例如 java 的 hibernate 示例,以下代码是根据关键字来进行模糊查询,其语句使用了自己编写的 sql 并进行了拼接。
public void testSelect2Students(Object sname) {
String queryString = "from Students s where s.sname like'%"