java代码审计--sql注入

已于 2022-10-13 11:19:04 修改
阅读量854 收藏
点赞数
分类专栏: java代码审计 文章标签: sql java hibernate
于 2021-09-15 16:26:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33942040/article/details/120294626
版权

一.动态拼接sql注入

Select
insert
update
delete
java.sql.Connection
Statement
.execute
.executeQuery
jdbcTemplate
queryForInt
queryForObject
queryForMap
getConnection
PreparedStatement
Statement
execute
jdbcTemplate
queryForInt
queryForObject
queryForMap
executeQuery
getConnection

二.预编译处理不当

setObject()
setInt()
setString()
setSQLXML()

三.框架导致的sql注入

常用关键字

createQuery
session.save
session.update
session.delete

①sql注入基础

public User getUserById(String id) throws SQLException {
    Connection connection = JDBCTOOLS.getConnection();
		String sql = "select id,username from user where id=" + id;
		Statement statement = connection.createStatement();
    ResultSet resultSet = statement.executeQuery(sql);

    resultSet.next();
    int userId = resultSet.getInt(1);
    String username = resultSet.getString(2);
    User user = new User(userId, username);
    return user;
}

②预编译机制
1.预编译常见模式
Hibernate

@Autowired CategoryDAO categoryDAO; //依赖注入

@RequestMapping("/hibernate")
public String hibernate(@RequestParam(name = "id") int id) {
  Category category = categoryDAO.getOne(id);
  return category.getName();
}

//常用关键字
$
#

Mybatis框架学习

//框架架构理解
(1)加载设置配置:将SQL的配置信息加载成为一个个MappedStatement对象,设置参数映射配置,结果映射配置。
(2) SQL解析:当API接口层接收到调用请求时,会接收到传入SQL的ID和传入对象(可以是MapJavaBean或者基本数据类型),Mybatis会根据SQL的ID找到对应的MappedStatement,然后根据传入参数对象对MappedStatement进行解析,解析后可以得到最终要执行的SQL语句和参数。

(3)SQL执行:将最终得到的SQL和参数拿到数据库进行执行,得到操作数据库的结果。

(4)结果映射:将操作数据库的结果按照映射的配置进行转换,可以转换成HashMapJavaBean或者基本数据类型,并将最终结果返回。


//模式:预编译模式常用关键字
Mysql:
order by ${id} asc
in (${id})
like '%${id}%'

Oracle:
like '%$id$%'
like '%'||'$id$'||'%'

基于注解的写法

//这里是springboot的写法思路
@Mapper
public interface CategoryMapper {
    @Select("select * from category_ where name= '${name}' ")//即select * from name where name=#{name}这种写法就是jdbc的预编译模式写法
    public CategoryM getByName(@Param("name") String name);
}

基于xml的写法

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">

<mapper namespace="cn.seaii.springboot.mapper.CategoryMapper">
    <select id="get" resultType="cn.seaii.springboot.pojo.CategoryM">
        select * from category_ where id= ${id}
    </select>
</mapper>

2.预编译无法解决产生漏洞的几个点
原因:预编译只能处理查询参数导致的,如
select * from test where name=#{name};
在这里插入图片描述

四.特殊规范的sql注入

Spring Data Jpa

https://sec-in.com/article/547

修复方法

采用的模式
①类型转换(一般无数字注入)

#httpServletRequest的getParameter方法获取到的参数的类型都是String
int id = Integer.valueof(req.getParameter("id"));

②预编译

 两种思路
 ①mybatis使用#进行预编译
 ②参数话固定进行预编译如set(name,"123");采用这种方式进行

③其他三种特殊操控的
在这里插入图片描述
④过滤与编码进行修复
一个比较有意思的全局编码替换
在这里插入图片描述
keyword.properties的内容如下
在这里插入图片描述

goddemon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java代码审计sql注入
糖小喵
04-13 920
检查点:数据库查询 前言: 在 Java 中,操作SQL的主要有以下几种方式: java.sql.Statement java.sql.PrepareStatement 使用第三方ORM框架 ——MyBatis或Hibernate 下面我们来分析以上几种执行SQL的方式。 java.sql.Statement java.sql.Stateme...
Java代码审计sql注入基础
m0_55772907的博客
11-10 448
代码审计
JAVA代码审计SQL注入
06-14
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证: 1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。 3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
JAVA代码审计篇-SQL注入
希望我的博客,能帮上你解决学习中工作中所遇到的问题
03-01 731
1、SQL注入攻击是黑客利用SQL注入漏洞对数据库进行攻击的常用手段之一。攻击者通过浏览器或者其他客户端将恶意SQL语句插入到网站参数中,网站应用程序未经过滤,便将恶意SQL语句带入数据库执行。2、SQL注入漏洞可能会造成服务器的数据库信息泄露、数据被窃取、网页被篡改,甚至可能会造成网站被挂马、服务器被远程控制、被安装后门等。3、SQL注入的分类较多,一般可笼统地分为数字型注入与字符串型注入两类;当然,也可以更加详细地分为联合查找型注入、报错注入、时间盲注、布尔盲注等。
JAVA代码审计SQL注入代码审计
最新发布
weixin_68408599的博客
06-12 826
SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互中,前端数据通过后台在对数据库进行操作时,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数中,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。可以说所有可以涉及到数据库增删改查的系统功能点都有可能存在SQL注入漏洞。虽然现在针对SQL注入的防护层出不穷,但大多情况下由于开发人员的疏忽或特定的使用场景,还是会存在SQL注入漏洞的代码。
解决SQL注入Java
ilqgffvramusm2864的博客
04-12 5546
​​​​​​ JAVASQL INJECTION 0x01 简介 文章主要内容包括: Java 持久层技术/框架简单介绍 不同场景/框架下易导致 SQL 注入的写法 如何避免和修复 SQL 注入 0x02 JDBC 介绍 JDBC: 全称 Java Database Connectivity 是 Java 访问数据库的 API,不依赖于特定数据库 ( database-independent ) 所有 Java 持久层技术都基于 JDBC 更多请参考 htt..
Mybatis、JPA都是如何防止SQL注入
qq_44985699的博客
08-09 822
mybatis和jpa如何防止sql注入
如何在Java应用程序中预防SQL注入
allway2的博客
07-22 1582
这背后的主要原因是预准备语句的本质数据库服务器使用它们来缓存拉取结果集所需的查询计划,这对于任何可能的值通常都是相同的。在本文中,我们介绍了Java应用程序中的SQL注入漏洞——对任何依赖数据进行业务的组织来说都是一个非常严重的威胁——以及如何使用简单的技术来防止它们。主要思想是,即使我们无法在代码中找到所有可能的漏洞——这是处理遗留系统时的常见情况——我们至少应该尝试限制攻击可能造成的损害。如果在生成此代码的过程中,我们使用未经适当清理的不受信任的数据,我们就会为黑客利用敞开大门。...
Java使用JDBC开发 之 SQL注入攻击和解决方案
m0_61331573的博客
03-14 361
使用PreparedStatement pst = con.prepareStatement(sql):调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类。//4、调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类。//执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败。执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败。
JPA动态sql的使用姿势
Y_hahaha的博客
04-18 5013
JPA动态sql的使用姿势
Java代码审计案例及修复
12-22
Java 代码审计案例及修复旨在提供一个 Java 代码审计的实践指南,涵盖了 Java 代码审计的基本概念、安全编码规范、漏洞示例和修复方法等内容。 安全编码规范 在 Java 编程中,安全编码规范是非常重要的,它可以...
java-sql-inspector:用于测试Java代码是否存在SQL注入漏洞的实用程序
02-17
Java SQL Inspector是一款强大的工具,专为检测Java代码中的SQL注入漏洞而设计。SQL注入是一种常见的安全威胁,攻击者可以通过在输入字段中插入恶意SQL代码来操纵数据库查询,从而获取敏感信息、修改数据甚至完全...
第55天:代码审计-JAVA项目注入上传搜索或插件挖掘1
08-03
在本文中,我们将深入探讨Java项目中的代码审计,特别是关注注入攻击、上传漏洞以及相关的工具使用。这些安全问题在开发过程中不容忽视,因为它们可能导致数据泄露、系统瘫痪甚至整个网络的破坏。 首先,我们来看一...
java学习》-java 代码审计学习靶场.zip
04-02
Java代码审计是软件开发过程中的重要环节,它旨在发现并修复源代码中的潜在问题,以提高软件质量和安全性。本资源“《java学习》-java 代码审计学习靶场.zip”提供了一个实践平台,帮助开发者深入理解和掌握Java代码...
java实战:防止SQL注入常用方法及代码示例
oandy0的博客
02-15 1717
本文将介绍几种在Java中防止SQL注入的常用方法,并提供详细的代码示例。我们将探讨使用预编译的SQL语句(Prepared Statements)、使用ORM框架、使用SQL模板引擎和参数化查询等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范SQL注入攻击。
Java中的SQL注入简易分析
鸣蜩十四的博客
08-04 3340
Java中的JDBC与Mybatis中的SQL注入简易分析
Java代码审计篇:SQL注入
hackzkaq的博客
12-01 1280
前期与常规注入代码审计一样,找sql语句看是否存在字符串拼接,如果存在,通过查找参数的调用逻辑,理清逻辑,在构造payload时,先注册一个正常的用户名,但是用户名是带有sql语句的,比如 “ ‘union select user(),2.3# “,此时在登陆的时候就可以显示对应的信息。MyBatis 的 like 子句中使用#{}程序会报错,所以为了避免报错,在开发的时候使用${},当使用like ‘#%{name}%’时,会报错。而使用like ‘$%{name}%’,时会正常执行。
Java代码审计SQL注入
tpaer的博客
12-05 2355
复现了Java中JDBC及Mybatis框架采用预编译和非预编译时可能存在SQL注入的几种情况,并给予修复建议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

goddemon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值