Hibernate框架中的HQL注入漏洞

Hibernate框架中的HQL查询

Hibernate是一款重量级的全自动化ORM框架，它将SQL的操作封装起来。通常情况下，开发者需要通过操作xml配置文件，来进行数据库的操作。但有时为了灵活方便，开发者可以在工具类中通过扩展hibernate API 操作持久化对象来进行增删改查,此时要用到HQL，HQL(Hibernate Query Language) 是面向对象的查询语言, 它和 SQL 查询语言有些相似。HQL查询并不直接发送给数据库，而是由hibernate引擎对查询进行解析并解释，然后将其转换为SQL。

HQL注入原理

所谓的HQL注入，就是指在Hibernate中没有对数据进行有效的验证导致恶意数据进入应用程序造成的漏洞。在实战中可以若发现了HQL注入，若正好位于登入框出，则可以构造万能密码，其他情况下利用方式十分有限。

使用HQL的时候需要用到session.createQuery()。

下面给出程序员在代码中常用到的两种HQL查询代码：

（1）参数绑定（安全写法）

String queryString = "from Item item where item.deion like :searchString”;

List result = session.createQuery(queryString).setString("searchString", searchString).list();

（2）直接拼接（不安全写法）

// 不安全的代码示例，容易受到HQL注入攻击
String username = request.getParameter("username");
String hql = "FROM User u WHERE u.username = '" + username + "'";
List<User> users = session.createQuery(hql).list();

 

一般在createQuery中使用PDO，使用setString填充占位符进行sql语句的拼接，这样就不存在sql注入，但是难免不排除有不使用此方法的导致HQL注入。

HQL注入利用

注入万能密码：

aaaa' or 1=1 or "='

目前互联网上关于HQL的注入工具很少，并且只能有限的暴力破解处实体和列名，推荐一看HQL注入的工具：HQLmap https://github.com/PaulSec/HQLmap

HQL注入防御

• 预编译，将参数名称绑定