java代码审计之SQL注入审计方法

最新推荐文章于 2023-08-16 08:35:14 发布
最新推荐文章于 2023-08-16 08:35:14 发布
阅读量195 收藏
点赞数
分类专栏: 代码学习 文章标签: sql java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44108760/article/details/130827921
版权

一:JDBC拼接不当造成的SQL注入

执行sql注入的两种方法
  • PrepareStatement和Statement
    • 区别
      • PrepareStatement会对SQL语句进行预编译
      • Statement方法在每次执行时都需要编译,会增大系统开销。
    • Statement
      • image.png
      • 该方法使用了拼接的方式,将用户的输入“id”带入SQL语句中,通过创建的Statement对象进行执行但是由于是用的拼接的方式,因此输入1 or 2 = 3就会拼接执行语句,产生SQL注入漏洞
    • PrepareStatement
      • 支持预编译也就是在预编译阶段通过“?”作为占位符,先执行了一遍SQL语句,参数用 占位符代替,目的是为了检查语法是否正确。后续用户输入的字符将被用来代替占位符“?”,但是所有的变量都将被视为字符串,不会拼接关键字或是恶意语法等进入注入语句。
      • 错误使用preparestatement
      • 虽说PrepareStatement支持预编译,但是上述代码使用了PrepareStatement却未使用预编译的形式,采用了同Statement的拼接形式,因此输入1 or 2 = 3同样会拼接执行语句,产生注入漏洞。
      • image.png
      • 正确使用preparestatement
      • image.png

二:框架使用不当造成的SQL注入

mybatis框架

  • MyBatis中使用parameterType向SQL语句传参,在SQL引用传参可以使用#{Parameter}和${Parameter}两种方式
    • #{}
      • 使用了预编译的格式,因此不存在注入漏洞
    • ${}
      • 使用的是拼接的格式,因此会存在注入漏洞
        • like注入
        • in注入
        • order by注入

Hibenate框架

  • 暂时忽略
shayebushia_111
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA实现sql注入点检测
04-24
JAVA实现的网络爬虫以及对爬到的页进行sql注入判断
Java代码审计SQL注入
tpaer的博客
12-05 2268
复现了Java中JDBC及Mybatis框架采用预编译和非预编译时可能存在SQL注入的几种情况,并给予修复建议。
JAVA代码审计篇-SQL注入
希望我的博客,能帮上你解决学习中工作中所遇到的问题
03-01 696
1、SQL注入攻击是黑客利用SQL注入漏洞对数据库进行攻击的常用手段之一。攻击者通过浏览器或者其他客户端将恶意SQL语句插入到网站参数中,网站应用程序未经过滤,便将恶意SQL语句带入数据库执行。2、SQL注入漏洞可能会造成服务器的数据库信息泄露、数据被窃取、网页被篡改,甚至可能会造成网站被挂马、服务器被远程控制、被安装后门等。3、SQL注入的分类较多,一般可笼统地分为数字型注入与字符串型注入两类;当然,也可以更加详细地分为联合查找型注入、报错注入、时间盲注、布尔盲注等。
java sql简易注入测试
yunchen523的博客
05-13 817
最近对SQL注入比较感兴趣,想着用java测试一下,首先进行了jdbc的简单连接,但是在结果运行的时候却没有得到我想要的结果。假设我有一个student表,我想要通过网页输入信息搜索指定信息(原功能),但是我想通过SQL注入获取到所有信息。我创建了一个表单,通过文本框将我的信息传输到servlet中进行处理。 select * from student where id ='1' or 1=1 正常情况下应该返回所有记录信息,但是响应时却只有id为1的记录(原表中数据不止一条)。后来经过多次测试与查找资料
代码审计-Java项目审计-SQL注入漏洞
xiaoheizi的博客
08-16 213
eval assert preg_replace call_user_func call_user_func_array等。extract() parse_str() import_request_variables() $$ 等。$_FILES,type="file",上传,move_uploaded_file()等。$_GET,$_POST,$_REQUEST,$_FILES,$_SERVER等。审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等。
JAVA代码审计SQL注入
06-14
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入审计方法及黑盒验证: 1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架...
代码审计[java 安全编程] - T00LS
最新发布
04-20
注入攻击的本质,是程序把用户输入的数据当做代码执行。这里有两个关键条件,第᳿是用户能够控制输 入;第二是用户输入的数据被拼接到要执行的代码中从而被执行。sql 注入漏洞则是程序将用户输入数据 拼接到了 sql ...
Java代码审计思维导图
03-23
第一类:常见web漏洞,涵盖了SQL注入,XSS注入,链接注入,文件上传,反序列化,SSRF的漏洞成因,漏洞审计以及漏洞修复 第二类:业务逻辑漏洞,涵盖了逻辑漏洞,短信漏洞,验证码漏洞的漏洞成因,漏洞审计以及漏洞...
41-谈一谈java代码审计1
08-03
1、程序员编码不当,编码时未考虑安全性 2、第三方组件使用不当 1、程序员由于编码不当产生的漏洞,典型包括后门、SQL注入、文件上传、任意文件 2、第三方组件使
第55天:代码审计-JAVA项目注入上传搜索或插件挖掘1
08-03
代码审计-JAVA 项目注入上传搜索或插件挖掘演示案例:简易 Demo 段 SQL 注入及预编译IDEA 审计插件 FindBugs 安装使用Fortify_S
java代码审计SQL注入
m0_52923241的博客
02-28 622
没有正确的对用户的输入进行检查,将用户的输入以拼接的方式带入到SQL语句中,导致SQL注入
javassist技术研究&Sql注入检测
我的心曾悲伤7次
09-22 939
javassist技术研究
java-sec-code学习
公众号shadow sock7
03-04 4131
配合静态代码审计工具,学习一下。 git clone https://github.com/JoyChou93/java-sec-code cd java-sec-code # 生成jar包 mvn clean package 修改配置文件src/main/resources/application.properties:: 将数据库名,账号密码修改为mysql中有的。 参考:mysql最常用最......
聊聊SQL审计功能
G探险者的博客
03-22 1291
通过SQL审计,可以对数据库的使用情况进行监控和管理,包括对SQL注入、非法访问、数据泄露等安全问题的检测和防范,对SQL语句性能瓶颈、错误和异常进行排查和修复,以及对业务数据进行统计和分析,支持业务决策。对数据库进行安全审计SQL审计可以记录和追踪SQL语句的执行情况,包括执行的时间、执行的参数、执行的结果等信息,以便进行安全审计SQL语句性能瓶颈、错误和异常等问题;SQL审计可以记录和追踪SQL语句的执行情况,包括执行的时间、执行的参数、执行的结果等信息,以便进行安全审计
Java中的SQL注入简易分析
鸣蜩十四的博客
08-04 3227
Java中的JDBC与Mybatis中的SQL注入简易分析
java防止SQL注入
zwjzone的博客
03-10 1120
springboot使用$符号传参,防止sql注入
sql注入 java_JAVA实现sql注入点检测
weixin_42118011的博客
02-22 751
【实例简介】JAVA实现的网络爬虫以及对爬到的页进行sql注入判断【实例截图】【核心代码】sql└── sql├── bin│ ├── Choose.class│ ├── Content.class│ ├── DirScanner│ │ ├── DirParser.class│ │ └── ScanDir.class│ ├── Fieldname.class│...
Java代码审计常见问题
05-28
Java代码审计中常见的问题包括: 1. SQL注入:当程序没有对输入数据进行验证或过滤时,攻击者可以通过输入恶意SQL语句来执行非法的数据库操作,例如删除、修改、查询等。在Java代码审计中,需要检查程序是否正确的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值