SQL注入

最新推荐文章于 2023-10-30 16:25:56 发布
最新推荐文章于 2023-10-30 16:25:56 发布
阅读量6.5k 收藏 68
点赞数 10
分类专栏: Java代码审计 文章标签: Java代码审计 网络安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45007073/article/details/120460889
版权

注入漏洞

前言

注入漏洞,是指攻击者可以通过HTTP请求将payload注入某种代码中,导致payload被当作代码执行的漏洞。例如SQL注入漏洞,攻击者将SQL注入payload插入SQL语句中,并且被SQL引擎解析成SQL代码,影响原SQL语句的逻辑,形成注入。同样文件包含漏洞、命令执行漏洞、代码执行漏洞的原理也类似,也可以看作代码注入漏洞。

SQL注入

SQL注入是因为程序未能正确对用户的输入进行检查,将用户的输入以拼接的方式带入SQL语句中,导致了SQL注入的产生。黑客通过SQL注入可直接窃取数据库信息,造成信息泄露。

JDBC拼接不当造成SQL注入

JDBC有两种方法执行SQL语句,分别是PrepareStatementStatement。两个方法的区别在于前者会对SQL语句进行预编译,而后者方法在每次执行时都需要编译,会增大系统开销。理论上前者的效率和安全性会比后者好,但是不意味着前者就绝对安全,不会产生SQL注入。

如下代码使用拼接的方式将用户输入的参数id带入SQL语句中,创建Statement对象来进行SQL语句的执行。经过拼接的语句,最终在数据库执行的语句为select * from user where id = 1 or 1=2,改变了程序想要查询id=1的语义,通过回显可以判断出存在SQL注入。

String sql = "select * from user where id ="+req.getParameter("id");

        PrintWriter out = resp.getWriter();
        out.println("Statement Demo");
        out.println("SQL: "+sql);
        try {
            Statement st = conn.createStatement();
            ResultSet rs = st.executeQuery(sql);
            while (rs.next()){
                out.println("<br> id: "+ rs.getObject("id"));
                out.println("<br> name: "+ rs.getobject("name"));
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }

在这里插入图片描述

PrepareStatement方法支持使用"?"对变量位进行占位,在预编译阶段填入相应的值构造出完整的SQL语句,此时可以避免SQL注入的产生。但开发者有时为了方便,会直接采取拼接的方式构造SQL语句,此时进行预编译则无法阻止SQL注入的产生。PrepareStatement虽然进行了预编译,但在以拼接方式构造SQL语句的情况下仍然会产生SQL注入

String sql = "select * from user where id ="+req.getParameter("id");

        PrintWriter out = resp.getWriter();
        out.println("prepareStatement Demo");
        out.println("SQL: "+sql);
        try {
            PreparedStatement pst = conn.prepareStatement(sql);
            ResultSet rs = pst.executeQuery();
            while (rs.next()){
                out.println("<br> id: "+ rs.getObject("id"));
                out.println("<br> name: "+ rs.getObject("name"));
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }

在这里插入图片描述

正确使用PrepareStatement可以有效避免SQL注入的产生,使用?作为占位符时,填入对应字段的值会进行严格的类型检查。将前面的拼接构造SQL语句改为使用占位符构造SQL语句的代码片段,即可有效避免SQL注入的产生

PrintWriter out = resp.getWriter();
        out.println("prepareStatement Demo3");
        String sql = "select * from user where id = ?";
        out.println(sql);
        try {
            PreparedStatement pstt = conn.prepareStatement(sql);
            // 参数已经强制要求是整型
            pstt.setInt(1, Integer.parseInt(req.getParameter("id")));
            ResultSet rs = pstt.executeQuery();
            while (rs.next()){
                out.println("<br> id: "+rs.getObject("id"));
                out.println("<br> name: "+rs.getObject("name"));
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }

在这里插入图片描述

框架使用不当造成SQL注入

在实际的代码开发工作中,JDBC方式是将SQL语句写在代码块中,不利于后续维护。如今的Java项目或多或少会使用对JDBC进行更抽象封装的持久化框架,如MyBatisHibernate。通常,框架底层已经实现了对SQL注入的防御,但在研发人员未能恰当使用框架的情况下,仍然可能存在SQL注入的风险。

1. MyBatis框架
MyBatis框架的思想是将SQL语句编入配置文件中,避免SQL语句在Java程序中大量出现,方便后续对SQL语句的修改与配置。正确使用MyBatis框架可以有效阻止SQL注入,错误的使用则可能埋下安全隐患。MyBatis中使用parameterType向SQL语句传参,在SQL引用传参可以使用#{Parameter}${Parameter}两种方式。

使用#{Parameter}构造的SQL语句如下所示

<select id="getUsername" resultType="com.zlng.bean.User">
	select id,name,age from user where name = #{name}
</select>

使用#{Parameter}方式会使用?占位进行预编译,因此不存在SQL注入的问题。用户可以尝试构造name值为zlng or 1=1进行验证,由于程序未查询到结果出现了空指针异常,因此不存在SQL注入漏洞。

当输入的name值为Yu时,成功查询到结果,Debug的回显如下
在这里插入图片描述
在这里插入图片描述

使用${Parameter}构造SQL语句如下

<select id="QueryByName" parameterType="String" resultType="com.demo.bean.User">

        select *  from user where name = ${name}
    </select>

当输入的name值为Yu时,成功查询到结果,Debug的回显如下
在这里插入图片描述
当我们输入的name值为'Yu' or 1=1 limit 0,1时,成功查询到结果
在这里插入图片描述
在这里插入图片描述
当语句为'Yu' or 1=1 limit 1,1时,查询的结果为
在这里插入图片描述
在这里插入图片描述
根据Debug的回显可以看出,name值被拼接进SQL语句中,因此存在SQL注入。从上面的演示可以看出,在底层构造完整SQL语句时,MyBatis的两种传参方式所采取的方式不同。#{Parameter}采用预编译的方式构造SQL,避免了SQL注入的产生。而${Parameter}采用拼接的方式构造SQL,在对用户输入过滤不严格的前提下,此处很有可能存在SQL注入。

2. Hibernate框架

Hibernate框架是Java持久化API规范的一种实现方式。Hibernate将Java类映射到数据表中,从Java数据类型映射到SQL数据类型。Hibernate是目前主流的Java数据库持久化框架,采用Hibernate查询语言注入。

HQL的语法与SQL类似,但有些许不同。受语法的影响,HQL注入在实际漏洞利用上具有一定的限制。Hibernate是对持久化的对象进行操作而不是直接对数据库进行操作,因此HQL查询语句由Hibernate引擎进行解析,这意味着产生的错误信息可能来自数据库,也可能来自Hibernate引擎。

import com.demo.bean.User;
import org.hibernate.HibernateException;
import org.hibernate.Session;
import org.hibernate.SessionFactory;
import org.hibernate.Transaction;
import org.hibernate.cfg.Configuration;

import javax.persistence.Query;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.Iterator;
import java.util.List;


@WebServlet(name="HibernateDemo",urlPatterns = "/SQLDemo5")
public class HibernateDemo extends HttpServlet {
    private SessionFactory factory;
    private Transaction tx = null;
    Session session;


    @Override
    public void init() throws ServletException {
        factory = new Configuration().configure().buildSessionFactory();
        session = factory.openSession();
    }

    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        PrintWriter out = resp.getWriter();
        out.println("Hibernate Demo");
        try {
            tx = session.beginTransaction();
            String parameter = req.getParameter("name");
            List user = session.createQuery("FROM User where name='" + parameter + "'").getResultList();
            // from user where name = 'Yu or 1=1'
//            Query query = session.createQuery("from com.demo.bean.User where name = ?1", User.class);
//
//            query.setParameter(1, parameter);
//            List user = query.getResultList();
            for (Iterator iterator =
                 user.iterator(); iterator.hasNext(); ) {
                User user1 = (User) iterator.next();
                out.println(user1.toString());
            }
            tx.commit();
        }catch (HibernateException e) {
            if (tx!=null) tx.rollback();
            e.printStackTrace();
        }finally {
            //session.close();
        }

    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        this.doGet(req, resp);
    }

    @Override
    public void destroy() {
        session.close();
    }
}

通过Debug模式可以清晰地观察到变量parameter被拼接进语句中,将原本的语义改变,查询出结果。
在这里插入图片描述
在这里插入图片描述
正确使用以下几种SQL参数绑定的方式可以有效避免注入的产生

  • 位置参数
String parameter = req.getParameter("name");
            Query query = session.createQuery("from com.demo.bean.User where name = ?1", User.class);
            query.setParameter(1, parameter);

在这里插入图片描述

  • 命名参数
String parameter = req.getParameter("name");
//            List user = session.createQuery("FROM User where name='" + parameter + "'").getResultList();
            //命名参数
            Query query = session.createQuery("from com.demo.bean.User where name = :name",User.class);
            query.setParameter("name", parameter);
  • 命名参数列表
String parameter = req.getParameter("name");
//命名参数列表
            List<String> names = Arrays.asList(parameter);
            Query query = session.createQuery("from com.demo.bean.User where name in (:names)",User.class);
            query.setParameter("names", parameter);
            List user = query.getResultList();

通过Debug可以观察出,以上几种方式都采用了预编译的方式进行构造SQL语句,从而避免注入的产生。Hibernate支持原生的SQL语句执行,与JDBC的SQL注入相同,直接拼接构造SQL语句会导致安全隐患的产生,应采用参数绑定的方式构造SQL语句。

防御不当造成SQL注入

SQL注入主要的成因在于未对用户输入进行严格的过滤,并采取不恰当的方式构造SQL语句。在实际的开发中,有些地方难免需要使用拼接构造SQL语句,例如SQL语句中order by后面的参数无法使用预编译赋值。此时应严格检验用户输入的参数类型、参数格式等是否符合程序预期要求。

平凡的学者
关注
  • 10
    点赞
  • 68
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
string sql
11-01
string sql;<br> string connstr = @"Provider=Microsoft.Jet.OLEDB.4.0;Data Source=|DataDirectory|ASPNET20Book.mdb;Persist Security Info=True";<br> System.Data.OleDb.OleDbConnection cn = new System.Data.OleDb.OleDbConnection(connstr);<br> System.Data.OleDb.OleDbCommand cmd;<br> cn.Open();<br> //先得到记录数目:<br> sql = "select Count(*) From Paging";<br> cmd = new System.Data.OleDb.OleDbCommand(sql, cn);<br> int RecordCount = (int)cmd.ExecuteScalar();<br> // TODO:计算Sheet数目,进行记录分段,将不同的数据段导入到不同的Sheet(Sheet数目不知道有没有限制:()<br> // TODO:文件名,Sheet名字的存在检测略<br> //每个Sheet只能最多保存65536条记录。<br> sql = @"select top 65535 * into [Excel 8.0;database=" + Server.MapPath(".") + @"ASPNET20Book.xls].[Sheet1] from Paging";<br> cmd = new System.Data.OleDb.OleDbCommand(sql, cn);<br> cmd.ExecuteNonQuery();<br> cn.Close();<br> cn.Dispose();<br> cn = null;<br> }
第133章 SQL函数 STRING
yaoxin521123的博客
05-06 2556
文章目录第133章 SQL函数 STRING大纲参数描述示例 第133章 SQL函数 STRING 将表达式转换并连接成字符串的函数。 大纲 STRING(string1[,string2][,...][,stringN]) 参数 string - 表达式,可以是字段名称、字符串文字、数字或另一个函数的结果,其中基础数据类型可以表示为任何字符类型(例如 CHAR 或 VARCHAR)。如果指定了字段名称,则使用逻辑值。 描述 STRING 将一个或多个字符串转换为 STRING 格式,然后将这些字符串
数据库的时间字段为String类型时使用SQL语句实现时间范围查询
fengzi2563的博客
10-30 603
前端写了一个addDateRange用来封装参数,以便于后端接收具体的前后开始时间。数据库的时间字段为String类型时使用SQL语句实现时间范围查询。向后端传一个数组,内容为具体的开始时间和结束时间。语句对应参数的具体作用。
java动态拼接Stringsql
怪只怪满眼尽是人间烟火
02-03 1270
String sql = "SELECT * from em_earmarkboxinfo ac "; //定义一个list<string>类型的集合,用来放拼接的SQL语句 List<String> list = new ArrayList<>(); if (ebiboxid != 0) { String sqla = " BoxId= " + ebiboxid; ...
第128章 SQL函数 %SQLSTRING
yaoxin521123的博客
05-01 796
文章目录第128章 SQL函数 %SQLSTRING大纲参数描述示例 第128章 SQL函数 %SQLSTRING 将值排序为字符串的排序规则函数。 大纲 %SQLSTRING(expression[,maxlen]) %SQLSTRING expression 参数 expression - 字符串表达式,可以是列名、字符串文字或另一个函数的结果,其中基础数据类型可以表示为任何字符类型(例如 CHAR 或 VARCHAR)。表达式可以是子查询。 maxlen - 可选 — 一个正整数,指定整理后的值
sql注入攻击流量情况
07-18
sql注入攻击流量情况
pangolinsdl—sql注入工具
06-20
pangolinsdl—sql注入工具 很好用的sql注入工具 界面简洁好用 使用方便
超级sql注入工具
11-02
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 超级SQL注入工具目前支持Bool型盲注、错误显示注入、...
sql注入网站源码
04-09
挺好的带有sql注入漏洞的asp网站源码,可以自行搭建环境。
sql语句转string
10-06
可以将在数据库客户端编辑测试好的sql语句,直接转换为java代码中的String类型。
sqlString,可以把一串长的sql生成string,不用再一个个拼接
05-22
sqlString,可以把一串长的sql生成string,不用再一个个拼接,例如select * from table等等等,自动拼接成str="select * from table",不需要一个个添加“”
SQL 注入天书.pdf
08-06
SQL 注入学习天书
SQL注入思路详解
12-14
一、SQL注入可以分为三个步骤 1.识别Web应用与数据库交互的可能输入(识别潜在注入点) 2.SQL注入语句测试 3.根据服务器返回判定注入语句是否影响了SQL执行结果以判断是否存在SQL注入     2.识别Web应用与数据库...
sql注入讲解ppt.pptx
08-10
sql注入一些基础知识的讲解
SQL注入fuzz字典
02-28
sql注入时很多关键的字符和关键字都过滤了,被称非法,一个一个测试不现实。可以使用该字典,用burp suite跑了一下来判断被过滤的字符。其中长度367表示可用,370表示非法字符,被过滤了。
metinfo 后台sql注入1
08-03
漏洞简介MetInfo是一套使用PHP和Mysql开发的内容管理系统。app/system/feedback/admin/feedback_admin.clas
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
postman sql注入
最新发布
01-04
Postman是一款常用的API开发和测试工具,它主要用于发送HTTP请求并查看响应。Postman本身并不直接涉及SQL注入问题,因为它只是一个工具,用于发送和接收HTTP请求和响应。然而,如果你在Postman中发送的请求中存在SQL注入漏洞,那么Postman将会显示响应中的错误信息。 要在Postman中进行SQL注入测试,你可以按照以下步骤操作: 1. 打开Postman并创建一个新的请求。 2. 在请求中选择合适的HTTP方法(如GET、POST等)和URL。 3. 在请求的参数中,尝试插入一些可能导致SQL注入的恶意输入,例如单引号、注释符号等。 4. 发送请求并查看响应。如果响应中包含SQL语法错误或其他与SQL注入相关的错误信息,那么说明存在SQL注入漏洞。 需要注意的是,Postman只是用于测试和验证API的工具,并不能直接修复或防止SQL注入漏洞。要修复和防止SQL注入漏洞,需要在应用程序的后端代码中采取相应的安全措施,例如使用参数化查询、输入验证和过滤等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

平凡的学者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值