java 框架注入漏洞修复_Mybatis框架下易产生SQL注入漏洞的场景和修复方法

最新推荐文章于 2024-05-08 21:24:58 发布
最新推荐文章于 2024-05-08 21:24:58 发布
阅读量1.2k 收藏 1
点赞数
文章标签: java 框架注入漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32206303/article/details/114850134
版权

一、Mybatis框架下易产生SQL注入漏洞的场景

在基于Mybatis框架的Java白盒代码审计工作中,通常将着手点定位在Mybatis的配置文件中。通过查看这些与数据库交互的配置文件来确定SQL语句中是否存在拼接情况,进而确立跟踪点。

通过总结,Mybatis框架下易产生SQL注入漏洞的情况有以下三种:

1. 模糊查询 like

以新闻详情页面为例,按照新闻标题对新闻进行模糊查询,如果考虑安全编码规范问题,其对应的SQL语句如下:

select * from `news` where `title` like ‘%#{title}%‘

但这样写是不对的,于是研发人员将SQL语句修改为:

select * from `news` where `title` like ‘%${title}%‘

这种情况程序不再报错,但是此时产生了SQL语句拼接问题,容易产生SQL注入漏洞。

2. 多值查询 in

对新闻进行同条件多值查询的时候,用户输入 1001,1002,1003 时,如果考虑安全编码规范,对应的SQL语句为:

select * from `news` where `id` in(#{id})

这样的SQL语句虽然能执行但得不到预期结果,于是研发人员将SQL语句修改为:

select * from `news` where `id` in (${id})

修改SQL语句之后达到了预期效果,但却引入了SQL语句拼接的问题。

3. order by 之后

根据时间、点击量等进行排序时,如果考虑安全编码规范问题,SQL语句为:

select * from `news` where `title`=‘iphone‘ order by #{time} asc

由于 time 不是查询参数无法使用预编译,SQL语句虽然执行了但得不到预期结果,于是研发人员将SQL语句修改为:

select * from `news` where `title`=‘iphone‘ order by ${time} asc

修改之后虽然成功得到预期结果,但产生了SQL语句拼接问题,极有可能引发SQL注入漏洞。

二、修复方法

1. 模糊查询 like

按照标题进行模糊查询,可将SQL语句设计如下:

select * from `news` where `tile` like concat(‘%‘,#{title}, ‘%‘)

采用预编译避免了SQL语句拼接的问题,从根源上防止SQL注入漏洞。

2. 多值查询 in

对新闻进行多值查询时,可使用Mybatis自带的循环指令解决SQL语句动态拼接的问题:

select * from `news` where `id` in #{item}

3. order by 之后

预编译机制只能处理查询参数,其他地方还需要研发人员根据具体情况来解决。例如 order by 排序查询:

select * from `news` where `title`=‘iphone‘ order by #{time} asc

这里 time 不是查询参数,无法使用预编译机制,只能拼接SQL语句:

select * from `news` where `title`=‘iphone‘ order by ${time} asc

这种情况下研发人员可以在java层面做映射来解决。例如:当排序字段为时间(time)或点击量(click)时,我们可以限制用户只能输入 1 或 2。

当输入 1 时,我们在代码层用 switch 语句将其映射为 time,当输入 2 时,将其映射为 click。输入其他内容时将其转换为默认排序字段 time。这样就能避免SQL注入漏洞。

参考链接

https://mp.weixin.qq.com/s?src=3&timestamp=1591321089&ver=1&signature=aort5C46VjBc1nw781Wc8WUSE8n3ErlNwWwH94BBZVSJ--3bdFc5yDWx2qD0Bs-ydAPLNqAcH01Jkncw28TLJxymWKhZAnRucnkLZHRkiQZAA89cHB0QJBKJt2TE5JCD2nrrP5MHKAtrHbMg49zhxzLGtAJhktLtQsruVERIJa0=

寒霜血蝶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MyBatis使用${}时动态表名或动态排序为什么会被注入攻击?是怎么实现的注入的,代码中要如何防范这种动态sql注入
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
03-14 289
在 MyBatis 中,如果动态查询 SQL 语句是像这样使用字符串拼接的方式来构建,其中的是动态传入的表名参数,存在被注入的安全风险。这种情况下,恶意用户可以通过构造特定的输入来注入恶意代码,从而执行未经授权的数据库操作。具体来说,当用户能够控制动态 SQL 中的参数,并且这些参数没有经过正确的验证和处理时,就会存在注入风险。如果参数直接从用户输入获取并拼接到 SQL 语句中,恶意用户可以通过在输入中添加 SQL 注入语句来改变 SQL 的逻辑,可能导致数据泄露、数据篡改或数据损失等危害。
Spring RCE 漏洞
归零安全(transnul)
03-30 426
​本文由Scynull编译,校对,转载请注明。 免责申明 归零安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。 本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!! JDK版本号排查 1.JDK版本排查 在业务系统的运行服务器上,执行“java -version”命令
XSS跨站攻击注入漏洞解决方案
不积跬步无以至千里
01-23 1098
一 跨网站脚本 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。  XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者
Python 开发 框架安全:Django SQL注入漏洞测试.(CVE-2021-35042)
最新发布
网络安全领域___专研者.
05-08 622
Django 是一个用 Python 编写的 Web 应用程序框架。它提供了许多工具和库,使得开发 Web 应用程序变得更加容和高效。Django 遵循了“MTV”(模型-模板-视图)的设计模式,将应用程序的不同组件分离开来,使得开发人员可以更加专注于应用程序的不同方面。
Mybatis框架SQL注入漏洞处理
热门推荐
aosica321的专栏
02-23 1万+
来源:http://www.open-open.com/lib/view/open1474963603800.html            http://mp.weixin.qq.com/s?__biz=MjM5OTk2MTMxOQ==&mid=2727827368&idx=1&sn=765d0835f0069b5145523c31e8229850&mpshare=1&scene=1&srci
Mybatis 框架产生 SQL 注入漏洞的三种情况
SuZhan0711
09-27 1184
这种场景应当在 Java 层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在 mybatis-generator 自动生成的 SQL 语句中,order by 使用的也是 $,而 like 和 in 没有问题。这样如果 Java 代码层面没有对用户输入的内容做处理势必会产生 SQL 注入漏洞。在这种情况下使用「#」 程序会报错,新手程序员就把「#」 号改成了「$」
Security_By_Default:MyBatis框架SQL注入解决方案.pdf
08-11
背景与现状 初阶安全实践 最佳安全实践:Security By Default
java持久层框架mybatis防止sql注入方法
09-01
下面小编就为大家带来一篇java持久层框架mybatis防止sql注入方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
基于Java的Pndao框架:自动化MyBatis SQL语句生成工具源码
03-25
项目名称:基于Java的Pndao框架 项目简介: Pndao是一个轻量级的MyBatis SQL自动化生成工具,旨在通过遵循DAO的命名约定来简化SQL语句的生成与维护过程。该项目完全采用Java语言开发,为开发者提供了一个高效的...
SQL.rar_MyBatis3DynamicSql_dynamic mybatis_mybatis_mybatis Dyna
09-19
Mybatis dynamic SQL mybatis之动态SQL
详解Mybatis框架SQL注入指南
08-18
主要介绍了详解Mybatis框架SQL注入指南,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
解决mybatis使用${}时sql注入的问题
qq_37048804的博客
08-14 8252
最近在上线项目的时候,代码审查没有通过,提示有sql注入的风险。 ORDER BY ${orderBy} 很简单的一个排序字段,但是因为使用 ${} 占位符的原因,有sql注入的风险,相信大家平时也经常会使用这个占位符,不知道有没有考虑sql注入的问题,下面简单介绍下 #{} 和 ${} 的区别以及为什么使用 ${} 会有sql注入的问题。 区别 #{}是一个参数占位符,对于String类型会...
mybatis防止sql注入
u012406790的专栏
09-15 489
1、#{}和${}的区别: (1)#{} select id,name from user where id=#{id} 打印的sql语句为: select id,name from user where id=? (2)${} select id,name from user where id=${id} 如果id值为8,打印的语句为: select id,nam
mybatis 动态更换表名,用以动态访问不同表的数据(#{} 、${})
qinyi8888的博客
02-18 2872
原文地址:https://blog.csdn.net/qq_25221835/article/details/86711987 贴个图片,方便查看重点: 或者: 看了上面,大家就应该要猜到我等下要说什么了,我再贴下我之前的问题代码: 错误代码一: 1.所有参数都用#{} 错误原因:错误的关键就在于#{table},其实本质还是#{}和${} 的区...
框架注入漏洞
conkeyn的专栏
02-27 5501
  2 详细描述 攻击者有可能注入含有恶意内容的 frame 或 iframe 标记。如果用户不够谨慎,就有可能浏览该标记,却意识不到自己会离开原始站点而进入恶意的站点。之后,攻击者便可以诱导用户再次登录,然后获取其登录凭证。 解决办法 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(分号) [4] $(美元符号...
检测到目标url存在框架注入漏洞_Django JSONField SQL注入漏洞复现(CVE-2019-14234)
weixin_40000131的博客
11-22 920
0x00 简介Django是一款广为流行的开源web框架,由Python编写,许多网站和app都基于Django开发。Django采用了MTV的框架模式,即模型M,视图V和模版T,使用Django,程序员可以方便、快捷地创建高品质、维护、数据库驱动的应用程序。而且Django还包含许多功能强大的第三方插件,使得Django具有较强的可扩展性。0x01 漏洞概述该漏洞需要开发者使用了JSONFie...
网络安全:Spring框架漏洞总结(二)
2201_75857562的博客
01-13 263
Spring Web Flow是Spring的一个子项目,主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题,提供了描述业务流程的抽象能力。Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。
一项被忽视的注入技术(过滤不严,长字符串截断注入
博客园: https://www.cnblogs.com/fger/
04-04 1923
在现如今注入技术一直被视为安全技术人员的必学技术,无论是注入还是盲注还是宽字节注入等各种注入技术都是如今非常流行的。但是在这么多的注入手法当中,有一种注入是被忽视的甚至有很多人不知道这种注入技术。那就是——超长字符串截断注入。     注入产生是由于过滤不严导致的,而利用则是由用户提交特殊的字符来进行利用的。而长字符串截断注入则是利用数据库的错误产生的也就是说我们在整个过程中可以不输入任何敏感
mybatis sql注入
09-12
MyBatis是一个开源的持久层框架,它提供了一种将SQL语句与Java代码解耦的方式。尽管MyBatis是一个相对安全的框架,但在使用过程中,仍存在可能发生SQL注入攻击的风险。 要防止MyBatis SQL注入攻击,可以采取以下几种方法: 1. 使用参数化查询(Prepared Statement):确保所有的用户输入参数都通过参数占位符的方式传递到SQL语句中,而不是直接拼接到SQL语句中。这样可以避免恶意用户输入特殊字符来破坏SQL语句结构。 2. 输入验证和过滤:在接收用户输入之前,对输入进行合法性验证和过滤。可以使用正则表达式、白名单或黑名单等方式来限制输入内容的合法范围,并过滤掉可能造成SQL注入的特殊字符。 3. 使用MyBatis的动态SQL功能:MyBatis提供了动态SQL功能,可以根据不同的条件动态拼接SQL语句。在使用动态SQL时,应该使用MyBatis提供的安全方法来拼接字符串,而不是直接拼接用户输入。 4. 限制数据库权限:为数据库用户设置合适的权限,最小化其对数据库的操作权限。这样即使发生注入攻击,攻击者也只能对具有限制权限的数据进行操作。 5. 定期更新MyBatis版本:及时关注MyBatis的更新和安全公告,及时更新到最新版本,以获取最新的安全修复和功能改进。 总之,为了防止MyBatis SQL注入攻击,需要使用参数化查询、输入验证和过滤、动态SQL、限制数据库权限以及定期更新MyBatis版本等多种手段来综合保护系统安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值