【第33章】MyBatis-Plus之预防安全漏洞

于 2024-07-13 08:12:16 发布
阅读量784 收藏 17
点赞数 33
分类专栏: # mybatis-plus 文章标签: mybatis java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44824164/article/details/140244951
版权

文章目录

前言

软件漏洞可以对系统造成严重危害,如果被人恶意利用,会导致病毒感染、数据泄漏或损坏的风险,还可能面临直接或间接的经济损失。那么,我们应该如何预防这些漏洞呢?在深入探讨漏洞问题之前,首先需要明确什么是漏洞。

一、什么是漏洞?

漏洞是指软件、系统或网络中存在的安全弱点或错误,这些弱点可能导致系统遭受攻击或被不当使用。在计算机安全领域,漏洞通常源于编程错误、设计缺陷或配置失误。

对于对象关系映射(ORM)框架来说,漏洞通常指的是设计或实施中的安全问题,这些问题可能让应用程序面临SQL注入攻击的风险。

SQL 注入漏洞
如果ORM框架在执行SQL操作时没有正确过滤或转义用户输入,攻击者可以利用输入的恶意数据来执行未经授权的数据库操作,从而造成数据泄露、损坏或篡改。

什么情况下会引起 SQL 注入攻击呢?通常是在以下情况:

  • 表结构部分:通常包含表字段、表名等固定内容。
  • 表字段参数/变量部分:通过包含各种动态 SQL 参数。

通常 ORM 中 SQL 注入漏洞的发生都是因为以上两个部分允许从前台传参导致的。

二、如何预防漏洞

明白漏洞产生的主要原因,那么我们只需要控制好表结构、参数相关的数据,避免他们暴露到前端既可避免漏洞攻击。

1.表字段部分

对于表字段部分通常来说应该由后端控制,但有些系统为了保持足够大的灵活性,允许前端动态传入数据库字段名称。这种做法虽然满足了系统的灵活性要求,却面临着极大的 SQL 注入风险。

如果想要规避风险,就必须要求系统设计者或开发人员自行控制字段的安全性,绝对不能让前端任意传入字符串直接转换为 SQL 字段,应通过字段映射逻辑来阻断攻击,避免前端接口传入的字段内容直接进入 SQL 编译阶段中生成最终 SQL。

2.字段参数/变量部分

对于字段参数部分,ORM 框架通常有做预编译防止 SQL 注入攻击的逻辑,在 MyBatis 中,通过使用 # 占位符,而不是 $ 占位符来避免 SQL 注入攻击。

MyBatis-Plus 在生成相关的 SQL 时底层能力同样来自 MyBatis,所以一样的可以是用 # 占位符来避免攻击,只不过这一个步骤由 MyBatis-Plus 自动完成了。

3. 使用工具类预防

一般来说,通过上面的处理就可以避免 SQL 注入攻击了,如果您还不放心,可以使用 MyBatis-Plus 提供的工具类 SqlInjectionUtils.check(内容) 来验证字符串是否存在 SQL 注入,如果存在则会抛出对应的异常,

// 开启自动检查 SQL 注入 (3.5.3.2+ 版本支持
Wrappers.query().checkSqlInjection().orderByDesc("任意前端传入字段")// 手动校验方式 (3.4.3.2+ 版本支持)
SqlInjectionUtils.check("任意前端传入字段")

注意
最好的预防方式仍旧是不允许任何SQL片段由前端传到后台,我们强烈建议不要开放给前端太多的动态 SQL,这样最安全。

三、关于恶意漏洞的说明

MyBatis-Plus 相关的代码和 Jar 包被别有用心的人提交了 CVE 漏洞,下面对这些漏洞进行一下官方的声明。

提醒! 请您注意这种不被官方认可的 “CVE 漏洞” 对框架本身、对用户、对项目的交付都会产生非常大的影响,您的 损人不利己的行为 给别人带来非常大的经济损失。

如果是不安全的设计,最好的办法是 issuepull request 协助官方尽快修复。

官方文档也 一而再 再而三 的强调 SQL 片段 必须检查安全,任何 ORM 框架,包括 JDBC 都是允许 字符串直接拼接SQL 的情况,因此,我们建议最好不要允许前端传入 SQL 片段。

总结

回到顶部

尽量避免前端传入 SQL 片段,对于前端传入的SQL片段通过手动校验的方式避免SQL注入。
常见问题章节也推荐大家去看一下,里面覆盖了很多众多业务场景的解决方案。

MyBatis Plus详细教程
m0_67401920的博客
07-28 2095
为什么要学MybatisPlus?MybatisPlus可以节省大量时间,所有的CRUD代码都可以自动化完成MyBatis-Plus是一个MyBatis的增强工具,在MyBatis的基础上只做增强不做改变,为简化开发、提高效率而生。特性无侵入只做增强不做改变,引入它不会对现有工程产生影响,如丝般顺滑损耗小启动即会自动注入基本CURD,性能基本无损耗,直接面向对象操作强大的CRUD操作支持Lambda形式调用通过Lambda表达式,方便的编写各类查询条件,无需再担心字段写错。...
关于目前遇到的最大的bug,是下面这个mybatisplus的bug
qq_56760790的博客
11-01 629
光导入mybatisplus依赖的话:假如项目下面第一层包名叫com的话,只要springApplication启动类直接放在第一层com包下,不要多层嵌套,就直接放com下,然后mapper类加了@Mapper注解,不管mapper类放在和启动类下多少层包下面,它都会报错type 'com.xt.mapper.StudentMapper',说扫描不到mapper类。但是假如包名不叫com的话,不管启动类怎么放,他都不会报错。 但是假如同时加上mybatismybatisplus依赖的话,就不会出.
如何看待mybatis-plus这个cve漏洞及声明
怀揣梦想,一颗执着于技术的心从未磨灭,内心住着一颗顽强的小强时刻提醒自己层层突破自我,同时也成就他人
05-31 1140
该组件在3.5.3.1及之前版本中,由于TenantHandler#getTenantId方法在构造SQL表达式时未对tenant(租户)ID值进行过滤,当程序启用了TenantPlugin并且tenant ID可由外部用户控制时,攻击者可以利用此漏洞进行SQL注入,接管程序的数据库或发送恶意命令。MyBatis-Plus的CVE漏洞是一个严重的问题,但通过及时升级版本、过滤输入和遵循最佳实践等措施,开发者可以有效地降低安全风险并保护系统的安全性。
【第23MyBatis-Plus之SQL数据安全保护
最新发布
zjg
07-08 476
MyBatis-Plus 提供了数据安全保护功能,旨在防止因开发人员流动而导致的敏感信息泄露。从3.3.2版本开始,MyBatis-Plus 支持通过加密配置和数据安全措施来增强数据库的安全性。回到顶部通过上述措施,MyBatis-Plus 帮助你构建了一个更加安全的数据库环境,保护了敏感数据不被泄露。
MybatisPlus存在 sql 注入漏洞(CVE-2023-25330)解决办法
dmlcq的博客
08-02 4831
MyBatis-Plus TenantPlugin 3.5.3.1及之前版本由于 TenantHandler#getTenantId 方法在构造 SQL 表达式时默认情况下未对 tenant(租户)的 ID 值进行过滤,当程序启用了 TenantPlugin 并且 tenant(租户)ID 可由外部用户控制时,攻击者可利用该漏洞进行 sql 注入,接管程序的数据库或向操作系统发送恶意命令。用户可通过对租户 ID 进行过滤缓解此漏洞
要注意了!这样使用MyBatis框架,被攻击了!
weixin_47067712的博客
07-23 455
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 一、Mybatis的SQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文
Mybatis-Plus被恶意CVE一事
weixin_42454225的博客
06-07 1048
Mybatis-Plus框架在2024年5月被人在CVE网络安全漏洞库上提交了漏洞,该漏洞可笑无比,但是有趣的是竟然还是被CVE审核确认为了SQL注入漏洞
MybatisPlus <= 3.5.3.1 TenantPlugin 组件 存在 sql 注入漏洞(CVE-2023-25330)
murphysec的博客
04-11 3952
MyBatis-Plus TenantPlugin 是 MyBatis-Plus 的一个为多租户场景而设计的插件,可以在 SQL 中自动添加租户 ID 来实现数据隔离功能。 MyBatis-Plus TenantPlugin 3.5.3.1及之前版本由于 TenantHandler#getTenantId 方法在构造 SQL 表达式时默认情况下未对 tenant(租户)的 ID 值进行过滤,当程序启用了 TenantPlugin 并且 tenant(租户)ID 可由外部用户控制时,攻击者可利用该漏洞进行
记录一个若依改造Mybatis-Plus的Bug
qq_42486355的博客
03-06 136
最近想把现有的一个基于若依框架的开发的项目的Mapper层改造成用Mybatis-Plus框架,遇到了一个挺有意思的Bug,特发出来和大家分享。在进行application.yml改造的过程中,没太注意具体提示,直接按enter了。这二者在用法上到底有什么区别,欢迎大神在评论留言。然后一直提示我扫描不到xml,然后修改为。
小心 MybatisPlus 的一个坑
专搞技术的小兔子
07-12 914
这本是好意,但是在我这个场景有点麻,它完美的复现了上文提到的那个错误使用,在有重复 key 的场景确实报错了,但是被外层 try-catch 拦住了抛错,不过事务上已经打了失败的标了!紧接着它想抛出错误,但是由于被 try catch 了,于是乎正常执行后续的逻辑,等执行到最后,外层要提交事务了,发现当前事务已经被打了回滚的标记,所以提交失败,报了上面的错。我记得以前还听说过一个段子,就是有个人用了一个网上的组件,正常情况下都没事,异常情况下,系统就挂了。
Mybatis-Plus 使用隐患,太坑了!
Java技术栈,分享最主流的Java技术
11-10 682
MP 从出现就一直有争议 感觉一直 都存在两种声音很方便啊 通过函数自动拼接Sql 不需要去XML 再去使用标签 之前一分钟写好的Sql 现在一秒钟就能写好 简直不要太方便侵入Service层 不好维护 可读性差 代码耦合 效率不行 sql优化比较难之前也有前辈说少用MP 理由就是不好维护 但是这个东西真的是方便 只要不是强制不让用 就还是会去使用 存在集合里 最近也确实有一些体会 就从两个角度去看一下MP。MP 在做一些简单的单表查询可以去使用但是对于一些复杂的SQl操作还是不要用。
SpringBoot整合MybatisPlus遇到的大坑!
Eliauk4的博客
06-08 257
description的缩写别再写desc了...会被sql误以为是降序的。。 这里的de
Mybatis-Plus 使用技巧与隐患
weixin_44994494的博客
11-04 2956
MP 从出现就一直有争议 感觉一直 都存在两种声音转载个人掘金地址很方便啊 通过函数自动拼接Sql 不需要去XML 再去使用标签 之前一分钟写好的Sql 现在一秒钟就能写好 简直不要太方便侵入Service层 不好维护 可读性差 代码耦合 效率不行 sql优化比较难之前也有前辈说少用MP 理由就是不好维护 但是这个东西真的是方便 只要不是强制不让用 就还是会去使用 存在集合里 最近也确实有一些体会 就从两个角度去看一下MPMP 在做一些简单的单表查询可以去使用但是对于一些复杂的SQl操作还是不要用。
mybatisplus版本引发的连接泄漏血案
沉迷Spring的博客
05-19 3300
上周几次接到同事电话说线上环境用户登陆失败,我一查线上日志看到很多Connection timeout的错, 因为我们用到了HikariCP连接池,理论上来说不会出现连接泄漏的问题,我就加了HikariCP的leakDetectionThreshold连接泄漏检测配置。 今晚又被提示说登陆不上了,我一看日志,果真如提前预料的那样也是Connection timeout的错,但是这次竟然日志中没有出现Apparent connection leak detected类似的字样,甚是奇怪。 其实在去年年底的时候
mybatis之SQL注入漏洞及防护措施
sinat_37179161的博客
04-11 1777
一、SQL注入漏洞基本原理 在常见的web漏洞中,SQL注入漏洞较为常见,危害也较大。攻击者一旦利用系统中存在的SQL注入漏洞来发起攻击,在条件允许的情况下,不仅可以获取整站数据,还可通过进一步的渗透来获取服务器权限,从而进入内网。注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件,第一个是用户能够控制输入;第二个是原本程序要执行的代码,拼接了用户输入的数据。接下来说下SQL注入漏...
mybatis如何防止SQL注入?
蜻蜓队长
09-11 1270
*** sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入 一、采用jdbc操作数据时候 String sql = "update ft_proposal set id = "+id; PreparedStatement prepareStatement = conn.prepareStatement(sql); prepareStatement.executeUpdate(); preparedStatement 预编译对象
MyBatisPlus数据自动加解密存取和字段防篡改有效性校验码自动生成存储处理器
qq_37148232的博客
07-19 1522
5、SecretDecryptInterceptor,拦截ResultSetHandler.handleResultSets,解密带SecretField字段的entity属性。10、SeretSecurityAutoConfiguration,总配置类,用于开启是否向Spring注册启用加密码组件。SecretWrarpperEnhancer:低层次代码向高层次代码的entity对象设置一些加解密字段的扩展接口。7、SecretModel,标记该实体有需要加解密的字段。
MyBatis 中 SQL 注入攻击的3种方式,真是防不胜防!
2301_78526383的博客
06-17 784
以上就是mybatis的sql注入审计的基本方法,我们没有分析的几个点也有问题,新手可以尝试分析一下不同的注入点来实操一遍,相信会有更多的收获。当我们再遇到类似问题时可以考虑:1、Mybatis框架下审计SQL注入,重点关注在三个方面like,in和order by2、xml方式编写sql时,可以先筛选xml文件搜索$,逐个分析,要特别注意mybatis-generator的order by注入3、Mybatis注解编写sql时方法类似。
Mybatis中会引起sql注入风险的问题
flytalei的博客
06-12 2239
该风险漏洞是我驻场的公司(ciccwm)在一次安全漏铜检查中提出,我在此作为引用,特此声明。
mybatis-plusmybatis-plus-core的区别
11-22
mybatis-plusmybatis-plus-core是MyBatis-Plus框架的两个核心模块,它们之间有以下区别: 1. mybatis-plusMyBatis-Plus框架的主要模块,提供了许多增强功能和工具类,用于简化MyBatis的开发。它包含了mybatis-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值