记一个老系统被检测出SQL注入漏洞的解决过程

最新推荐文章于 2022-08-15 16:57:54 发布
最新推荐文章于 2022-08-15 16:57:54 发布
阅读量464 收藏
点赞数
文章标签: python 开发工具
原文链接:https://my.oschina.net/hs798630734/blog/1553914
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

几年前,由另外一个团队做的一个XX管理系统,现在也不是我维护,只是代管。近期因18+1大的召开,网··信办开始了对政7府的业务系统进行的检查,很不巧,我们这个老系统就中招了。 国家某检测中心完事后,一级一级下发,最终到我手里。。。

报告中写的是:

最终结论就是有SQL注入。

因之前安全这块也接触的不多,最开始是一脸懵逼的状态,后面网上了解了一下。自己也搭建了一个检测环境,最终毛病出在ibatis上。

原团队中项目中使用了大量的ibatis sql语句,并且参数替换全部用的是$,正确的做法应该是使用#,关于#和$的区别可以查看这篇文章:http://blog.csdn.net/kiss_vicente/article/details/7602900,里面有提到

对于变量部分, 应当使用#, 这样可以有效的防止sql注入, 未来,# 都是用到了prepareStement,这样对效率也有一定的提升 

所以把$改成#就可以啦! 本地再次测试就是这样啦

转载于:https://my.oschina.net/hs798630734/blog/1553914

weixin_34384557
关注
SQL注入漏洞检测及防御方法
leyang0910的博客
12-07 594
SQL注入是一种攻击技术,攻击者通过在输入字段中插入恶意SQL代码,试图欺骗应用程序以执行不安全的数据库操作。这些恶意SQL代码将与应用程序的数据库进行交互,允许攻击者执行未授权的操作。SQL注入攻击通常针对使用动态SQL查询的Web应用程序,这些查询构建在未正确过滤或验证用户输入的基础上。SQL注入攻击通常涉及使用单引号、双引号、注释符号和逻辑运算符等特殊字符,以绕过应用程序的输入验证,构造恶意SQL查询。成功的攻击可能导致数据库泄漏、数据破坏、未授权访问、甚至完整的数据库服务器控制。
JEECGBOOT代码SQL漏洞处理方案.zip
06-21
漏洞编码:HW21-0499 产品名字:JeecgBoot低代码平台 问题: JEECG系统存在SQL注入0day漏洞
SQL注入及防止--传入非法参数 IDEA+JAVA
qq_63321473的博客
08-15 1857
SQL注入即是指 web应用程序中数据库层的安全漏洞,因为没有对用户输入数据的合法性没有判断或过滤,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的 SQL语句 ,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。...
漏洞检测~SQL注入
北风
12-06 8128
注:转载请注明自:https://blog.csdn.net/qq_36711453/article/details/78734503 漏洞成因: SQL注入主要存在于动态网站的web应用中,攻击者将恶意的sql语句插入到表单的输入域或网页请求的字符串中,提交给web服务器,如果应用程序没有对用户的输入进行检查和过滤,则会执行恶意的SQL语句,即SQL注入产生。 简而言之:SQL注入由于应...
一次成功的sql注入入侵检测附带sql性能优化
09-11
描述中提到的问题表明,开发者早期可能忽视了对用户输入的严格验证,导致了SQL注入漏洞的存在。解决这个问题需要深入理解SQL注入的原理,并采取相应的防御措施。 1. SQL注入防范策略: - 使用预编译的SQL语句(如...
自己动手编写SQL注入漏洞扫描工具
06-22
标题中的“自己动手编写SQL注入漏洞扫描工具”指的是创建一个能自动检测Web应用程序是否存在SQL注入漏洞的软件。SQL注入是一种常见的网络安全威胁,攻击者通过在输入字段中插入恶意的SQL语句来操纵数据库,获取敏感...
sql注入网站源码
04-09
这个"sql注入网站源码"提供了一个具有SQL注入漏洞的ASP(Active Server Pages)网站实例,对于学习如何检测、防范和修复这类漏洞非常有价值。ASP是微软开发的一种服务器端脚本语言,常用于构建动态网站。 在ASP中,...
超级SQL注入工具使用说明书V1.1 20190303.docx
05-03
【超级SQL注入工具】是一款专为中国用户设计的渗透测试软件,其主要功能是检测和利用HTTP协议中的SQL注入漏洞。该工具使用C#语言编写,通过直接操纵TCP会话进行HTTP交互,提高了发包效率,相比C#自带的...
基于Django框架+python实现的漏洞扫描系统源码+sql数据库+详细项目说明.zip
最新发布
06-21
2. WEB网页漏洞扫描:编写爬虫程序收集网页数据,利用漏洞检测库和正则表达式等技术,收集到的信息进行深入的分析和匹配,检测常见的Web应用程序漏洞类型,如SQL注入、XSS、CSRF等。(1人) 3. 数据库管理:所有扫描...
SQL注入测试的测试点
狂飙兔的博客
10-13 3406
SQL注入测试的测试点 1.输入域的值为数字型,用1=1,1=2法 若满足条件,则存在SQL注入漏洞,程序没有对提交的整型参数的合法性做过滤或判断 2.输入域的值为字符型,用 ’1=1’, ’1=2’ 法 若满足条件,则存在SQL注入漏洞,程序没有对提交的字符型参数的合法性做过滤或判断 3.输入域中的值为搜索型,用’and [查询条件] and ‘%’=’% 等 若满足条件,则存在SQ
如何快乐地检测SQL注入
MSB_WLAQ的博客
09-30 2465
这估计大家也都发现了,测试SQL注入这种漏洞啊,又有WAF页面又没有明显的报错的情况下, 测试起来就是一个字,烦。 有waf: 我 and 1=1, 啪,它拦了。 我 order by, 啪,它拦了。 我 sleep(5), 啪,它拦了。 我 benchmark(50000000,MD5(1)), 啪,它又拦了。 页面不报错: 我 插入一个' 符号, 啪, 返回码还是200,不仅不报sql语句的错误,比如SQL syntax error near这种,连通用错误都不报,比如返回一个50...
SQL注入测试总结
热门推荐
07-11 4万+
SQL注入测试总结本文以MySQL数据库为例,其它数据库仅供参考。1 黑盒测试1.1 手工测试Web应用的主要注入点有:① POST请求体中的参数② GET请求头URL中的参数③ Cookie1.1.1 内联注入1、字符串内联注入测试字符串变种预期结果'N/ A触发数据库返回错误。' OR '1' = '1') OR ('1' = '1永真,返回所有行。value' OR '1' = '2valu...
sql注入检测:手工检测可否注入的大致经过
jiav_net的专栏
09-06 141
http://url/xx?id=1111 ;and ;1=1 ;(正常页面) ; http://url/xx?id=1111 ;and ;1=2 ;(错页面) ; ; ; □ ;检测表段 ; ; ; http://url/xx?id=1111 ;and ;exists ;(select ;* ;from ;admin) ; ; ; ; ...
在ibatis中使用$value$引入变量会引入SQLInjection漏洞
蛋疼先生的手札
04-01 341
(1)sql语法中的_关键字_.如果sql语句中现存在用户输入的关键字.比如以下sql: select TABLE_NAME,TABLESPACE_NAME from user_tables order by TABLE_NAME $ordertype$其中ordertype为用户输入的ASC,DESC.对这种关键字请使用 $ordertype:SQLKEYWORD$替换 $ordertype$...
渗透之——SQL注入检测方法
冰河的专栏
12-09 1万+
转载请注明处:https://blog.csdn.net/l1028386804/article/details/84929699 现在有很多防注入程序屏蔽了 and、1=1、1=2 类似这样的关键字,使用这样的方法有时不能探测到注入点了。那么是否有新的方法能够探测注入点呢? 经过一段时间的研究,发现了更好的方法。特此共享一下。 现在假设有一个新闻页面,URL 是 http://192.168...
新型SQL注入检测
weixin_33872660的博客
01-03 91
随着安检的提高,现在有很多防注入程序都屏蔽 and、1=1、1=2 类似这样的关键字,如果再使用这样的方法有时将不能探测到注入点了。 举例:http://www.somboy.com/news.asp?id=123 1、打开地址,我们可以看到是一个正常的页面。 2.、然后在地址后面加上-1,变成:http://www.somboy.com/news.asp?id=1...
SQL注入攻击分析:针对Web的Access数据库漏洞
"这篇文档是关于入侵测试中的Web SQL注入技术,主要针对一个特定的测试网站http://www.xxx.com,并提供了关于如何识别和利用SQL注入漏洞的初步介绍。" SQL注入是一种常见的网络安全威胁,它利用了Web应用程序未能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值