xss mybatis sql注入漏洞修改小技巧

已于 2024-03-05 11:55:53 修改
阅读量560 收藏 8
点赞数 12
文章标签: mybatis xss sql sql注入
于 2024-03-05 11:54:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hwssz/article/details/136474256
版权
文章讲述了公司在使用MybatisORM框架时遇到的SQL注入问题,主要集中在使用$占位符导致的注入。通过在Java代码中使用foreach和正则替换,作者成功修复了问题,强调了在等保背景下使用#占位符的重要性以防止SQL注入。
摘要由CSDN通过智能技术生成

        公司一直使用mybatis作为orm框架,SQL统一管理在xml文件中。最近客户系统上线前进行系统等保检查,反馈有大量的SQL注入漏洞,需要进行修复才能上线。    

        查看发过来的文档,问题SQL集中在几种SQL,ids参数值'aa','bb' name参数值 aa

1、select a.fid,a.fname from a where a.fid in (${ids})
2、select a.fid,a.fname from a where a.fname like '%${name}%'

        mybatis中使用#号占位符会根据参数值类型增加引号,而$占位符则是直接显示原值,所以存在被SQL注入的可能。系统中大量存在这样的写法,如果改传值需要去修改代码的逻辑,工作量太大。如果改xml就能修复这个问题,工作量少很多,第2条比较简单,第1条复杂点,试了多次终于可以了,下面是方案,使用eclipse的正则替换,半小时就把这个问题解决了

1、select a.fid,a.fname from a 
where a.fid in 
<foreach collection="ids.replace(&quot;'&quot;,&quot;&quot;).split(',')" 
index="index" item="item" open="(" separator="," close=")">#{item,jdbcType=VARCHAR}</foreach>
2、select a.fid,a.fname from a where a.fname like concat('%',#{name},'%')

       等保现在是系统上线的基本要求了,所以 工作中mybatis推荐使用#占位符,避免SQL注入,

hwssz
关注
  • 12
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mybatis 拦截器
YYniannian的博客
07-16 1064
拦截器可在mybatis进行sql底层处理的时候执行额外的逻辑,最常见的就是分页逻辑、对结果集进行处理过滤敏感信息等。
mybatis SQL注入攻击 以及XSS攻击csrf攻击
sinat_31396769的博客
12-28 2114
mybatis SQL注入攻击 以及XSS攻击csrf攻击 以上攻击形式跟原理不多做介绍,此处记录处理方案 SQL注入 问题:系统在经过安全扫描是,被告知存在SQL注入的封信,mybatis的预编译是不存在注入风险的,但是在排序字段的处理上,没法使用预编译,同时,在个别字段,存在使用$取值等不规范的操作,以上操作均会出现注入的风险 注入代码实例: 字段添加如下信息,虽然报错,但是会暴露出数据库用户...
Mybatis 框架下易产生 SQL 注入漏洞的三种情况
SuZhan0711
09-27 1208
这种场景应当在 Java 层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在 mybatis-generator 自动生成的 SQL 语句中,order by 使用的也是 $,而 like 和 in 没有问题。这样如果 Java 代码层面没有对用户输入的内容做处理势必会产生 SQL 注入漏洞。在这种情况下使用「#」 程序会报错,新手程序员就把「#」 号改成了「$」
【Web】基于MybatisSQL注入漏洞利用点学习笔记
uuzeray的博客
02-09 1397
① #{} 是预编译参数,表示使用 PreparedStatement 时,使用 setXXX() 方法设置参数值,会对传入的参数进行类型处理,确保传递的参数类型正确。② ${} 存在 SQL 注入问题,因为 SQL 语句中插入的是传入的参数值,如果参数值中包含 SQL 语句的关键字或特殊字符,可能会导致 SQL 注入攻击。① #{} 可以避免 SQL 注入问题,因为它会对传入的参数进行类型处理,并将参数值转义后再放到 SQL 语句中,保证了 SQL 语句的安全性。在 MyBatis 中,
Mybatis结果集拦截器反射取出Map存储的值进行XSS过滤
baidu_41267789的博客
11-04 961
Interceptor 拦截器 package xxxxx.intercept; import cn.com.thinvent.zfw.util.XssUtil; import org.apache.ibatis.executor.resultset.ResultSetHandler; import org.apache.ibatis.plugin.*; import org.springframework.util.CollectionUtils; import java.lang.reflect
电影交流平台微信小程序.zip
03-23
7. **安全考虑**:项目应考虑数据加密、防止SQL注入XSS攻击等安全问题,确保用户信息的安全。 8. **测试与部署**:开发完成后,需要进行功能测试、性能测试、兼容性测试等,确保小程序在不同设备上的正常运行。...
基于微信小程序的云上考试系统
最新发布
05-01
系统应具备防止SQL注入XSS攻击等安全防护措施,同时实施用户权限控制,确保只有授权的用户能访问特定功能,例如教师才能发布试题,学生只能参与考试。 六、用户界面与用户体验 微信小程序的界面设计直接影响用户...
2400水果小网站查询修改.zip
09-15
5. **安全考虑**:学习防止SQL注入XSS攻击等安全措施。 总之,"2400水果小网站查询修改.zip"提供了一个全面的Java Web开发学习平台,涵盖了从数据库设计到前端展示的完整流程。无论是初次接触Web开发的学生还是想...
基于微信小程序的书籍销售系统.zip
03-24
8. **安全与性能**:了解防止SQL注入XSS攻击等安全措施,以及服务器性能调优和负载均衡。 9. **版本控制与协作**:使用Git进行版本控制,协同开发,理解和应用GitHub或GitLab的工作流。 10. **文档编写**:项目...
基于ssm研知识题库小程序源码数据库.zip
04-18
7. **安全考虑**:包括用户认证、授权、防止SQL注入XSS攻击等。 8. **测试与调试**:单元测试、集成测试以及代码调试技巧,确保项目的稳定性和功能正确性。 9. **版本控制**:可能使用Git进行版本控制,协同开发...
sql注入xss攻击常见形式和解决方法
01-01
sql注入xss攻击常见形式和解决方法。doc
java持久层框架mybatis防止sql注入的方法
09-01
下面小编就为大家带来一篇java持久层框架mybatis防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring4.2.9+mybatis3.4.4集成(整合Jackson、防御XSS版)支持JDK1.6、Tomcat6
05-12
如果您基于Java6(JDK1.6)开发项目,这应该是目前最新的版本了。
SpringBoot集成Mybatis实现简单的SQL注入(攻击)案例
12-14
一、项目演示 (1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT NULL, "name" varchar(255) COLLATE "pg_catalog"."default", "password" varchar(255) COLLATE "pg_catalog"."default" ) ; DROP TABLE IF E
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
阿里云 MyBatis 远程代码执行漏洞(CVE-2020-26945)修复
hvang1988的专栏
10-22 7925
阿里云 MyBatis 远程代码执行漏洞(CVE-2020-26945)修复 1、漏洞详情 【安全通报】MyBatis 远程代码执行漏洞(CVE-2020-26945)|NOSEC安全讯息平台 - 白帽汇安全研究院 波及 mybatis.jar版本 小于<3.5.6 2、漏洞利用前提条件 在满足以下三个条件的时候,攻击者可以触发远程代码执行: ​ 1、用户启用了内置的二级缓存 ​ 2、用户未设置JEP-290过滤器 ​ 3、攻击者找到了一种修改私有Map字段条目的方法, 即修改or
MybatisPlus存在 sql 注入漏洞(CVE-2023-25330)解决办法
dmlcq的博客
08-02 4420
MyBatis-Plus TenantPlugin 3.5.3.1及之前版本由于 TenantHandler#getTenantId 方法在构造 SQL 表达式时默认情况下未对 tenant(租户)的 ID 值进行过滤,当程序启用了 TenantPlugin 并且 tenant(租户)ID 可由外部用户控制时,攻击者可利用该漏洞进行 sql 注入,接管程序的数据库或向操作系统发送恶意命令。用户可通过对租户 ID 进行过滤缓解此漏洞
Mybatis+spring知识点
m0_64899073的博客
02-22 470
Mybatis是一个半ORM(对象关系映射)框架,它内部封装了JDBC,开发时只需要关注SQL语句本身,不需要花费精力去处理加载驱动、创建连接、创建statement等繁杂的过程 程序员直接编写原生态sql,可以严格控制sql执行性能,灵活度高。 (2)MyBatis 可以使用 XML 或注解来配置和映射原生信息, 将 POJO映射成数据库中的记录, 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。 (3)通过xml 文件或注解的方式将要执行的各种 statement 配置起来, 并通过ja
Mybatis中会引起sql注入风险的问题
flytalei的博客
06-12 2101
该风险漏洞是我驻场的公司(ciccwm)在一次安全漏铜检查中提出,我在此作为引用,特此声明。
极致CMS(以下简称_JIZHICMS)的一次审计-SQL注入+储存行XSS+逻辑漏洞.pdf
03-22
在本次针对极致CMS (JIZHICMS) 的全面审计报告中,作者详细探讨了发现的几个关键漏洞类型,包括SQL注入、储存行XSS和逻辑漏洞。审计主要集中在以下几个部分: 1. **SQL注入**: 作者指出,审计过程中发现了SQL注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值