Java安全編碼SQL該怎樣注入
發(fā)布時(shí)間:2021-09-14 11:25
來(lái)源:億速云
閱讀:0
作者:柒染
欄目: 網(wǎng)絡(luò )安全
歡迎投稿:712375056
Java安全編碼SQL該怎樣注入�,針對這個(gè)問(wèn)題����,這篇文章詳細介紹了相對應的分析和解答�����,希望可以幫助更多想解決這個(gè)問(wèn)題的小伙伴找到更簡(jiǎn)單易行的方法�。
隨著(zhù)互聯(lián)網(wǎng)的發(fā)展��,Java語(yǔ)言在金融服務(wù)業(yè)�、電子商務(wù)�����、大數據技術(shù)等方面的應用極其廣泛��。Java安全編碼規范早已成為SDL中不可或缺的一部分����。本文以Java項目廣泛采用的兩個(gè)框架Hibernate和MyBatis 為例來(lái)介紹���,如何在編碼過(guò)程中避免SQL注入的幾種編碼方法��,包括對預編譯的深度解析���,以及對預編譯理解的幾個(gè)“誤區”進(jìn)行了解釋��。
目前Hibernate和MyBatis為java項目廣泛采用的兩個(gè)框架���。由于Hibernate使用方便���,以前的項目采用Hibernate非常的廣泛�����,但是后面由于Hibernate的侵入式特性�����,后面慢慢被MyBatis所取代 ��。下面我們會(huì )以SpringBoot為基礎����,分別搭建Hibernate和MyBatis的漏洞環(huán)境����。
2. 配置說(shuō)明
SpringBoot采用2.3.1.RELEASE���,版本為5.7.20��。數據庫有一張表user_tbl��。數據如下:
3. Hibernate
Hibernate 是一個(gè)開(kāi)放源代碼的對象關(guān)系映射框架����,它對 JDBC 進(jìn)行了非常輕量級的對象封裝���,是一個(gè)全自動(dòng)的 ORM 框架����。Hibernate 自動(dòng)生成 SQL 語(yǔ)句���,自動(dòng)執行�。
(1) 環(huán)境搭建
結構如下�����,ctl為控制層�,service為服務(wù)層�,dao為持久層�。為了方便沒(méi)有按照標準的接口實(shí)現�����,我們只關(guān)注漏洞的部分����。
Beans下User.java對用為user_tbl表結構�����。
我們使用/inject 接口,p為接受外部的參數���,來(lái)查詢(xún)User的列表�����,使用fastjson來(lái)格化式輸出�����。
我們回到dao層�����。
1)SQL注入
SQL注入我們使用字符串拼接方式:
訪(fǎng)問(wèn)http://localhost:8080/inject?p=m 直接用SQLMap跑一下:
很容易就注入出數據來(lái)了����。
2)HQL注入
HQL(Hibernate Query Language)是Hibernate專(zhuān)門(mén)用于查詢(xún)數據的語(yǔ)句��,有別于SQL���,HQL 更接近于面向對象的思維方式����。表名就是對應我們上面的entity配置的����。HQL注入利用比SQL注入利用難度大���,比如一般程序員不會(huì )對系統表進(jìn)行映射��,那么通過(guò)系統表獲取屬性的幾乎不可能的���,同時(shí)由于HQL對于復雜的語(yǔ)句支持比較差����,對攻擊者來(lái)說(shuō)需要花費更多時(shí)間去構造可用的payload�����,更多詳細的語(yǔ)法可以參考:
https://docs.huihoo.com/Hibernate/reference-v3_zh-cn/queryhql.html
3)預編譯
我們使用setParameter的方式�����,也就是我們熟知的預編譯的方式�����。
Query query = (Query) this.entityManager.createQuery("from User u where u.userName like :userName ",User.class); query.setParameter("userName","%"+username+"%");訪(fǎng)問(wèn)http://localhost:8080/inject?p=m后得到正常結果��。
執行注入語(yǔ)句:
http://localhost:8080/inject?p=m’ or ‘1’ like ‘1 返回為空�。
我們來(lái)看看setParameter的方式到底對我們的SQL語(yǔ)句做了什么���。我們將斷點(diǎn)打至Loader.class的bindPreparedStatement����。發(fā)現通過(guò)預編譯后�����,SQL變?yōu)榱耍?/p>
select user0_.id as id1_0_, user0_.password as password2_0_, user0_.username as username3_0_ from user_tbl user0_ where user0_.username like '%'' or ''1'' like ''1%'����,
然后交給hikari處理�����。發(fā)現將我們的單引號變成了兩個(gè)單引號�,也就是說(shuō)把傳入的數據變?yōu)樽址?/p>
將斷點(diǎn)斷至mysql-connector-java(也就是我們熟知的JDBC驅動(dòng)包)的ClientPreparedQueryBindings.setString.這里就是參數設置的地方�。
看一下算法:
String parameterAsString = x; boolean needsQuoted = true; if (this.isLoadDataQuery || this.isEscapeNeededForString(x, stringLength)) { needsQuoted = false; StringBuilder buf = new StringBuilder((int)((double)x.length() * 1.1D)); buf.append('\''); for(int i = 0; i < stringLength; ++i) { char c = x.charAt(i); switch(c) { case '\u0000': buf.append('\\'); buf.append('0'); break; case '\n': buf.append('\\'); buf.append('n'); break; case '\r': buf.append('\\'); buf.append('r'); break; case '\u001a': buf.append('\\'); buf.append('Z'); break; case '"': if (this.session.getServerSession().useAnsiQuotedIdentifiers()) { buf.append('\\'); } buf.append('"'); break; case '\'': buf.append('\''); buf.append('\''); break; case '\\': buf.append('\\'); buf.append('\\'); break; case '¥': case '?': if (this.charsetEncoder != null) { CharBuffer cbuf = CharBuffer.allocate(1); ByteBuffer bbuf = ByteBuffer.allocate(1); cbuf.put(c); cbuf.position(0); this.charsetEncoder.encode(cbuf, bbuf, true); if (bbuf.get(0) == 92) { buf.append('\\'); } } buf.append(c); break; default: buf.append(c); } } buf.append('\'');可以看到mysql-connector-java主要是將將我們’轉為了’’,對于轉義的\會(huì )變?yōu)閈\,比如對于這種SQL:
SELECT user0_.id AS id1_0_,user0_. PASSWORD AS password2_0_,user0_.username AS username3_0_ FROM user_tbl user0_ WHERE user0_.username LIKE '%\' or username = 0x6d #%'
也會(huì )變?yōu)椋?/p>
SELECT user0_.id AS id1_0_,user0_. PASSWORD AS password2_0_,user0_.username AS username3_0_ FROM user_tbl user0_ WHERE user0_.username LIKE '%\\'' or username = 0x6d #%'
有人會(huì )說(shuō)那我們使用select * from user_tbl where id = 1 and user() = 0x726f6f74406c6f63616c686f7374 這種類(lèi)似的語(yǔ)句�����,全程沒(méi)有jdbc里面的危險字符是不是就可以繞過(guò)了?mysql-connector-java里面有個(gè)非常巧妙的點(diǎn)是�,他會(huì )根據你傳入的類(lèi)型判斷���。比如傳入的為int類(lèi)型��。就會(huì )走setInt��。傳入的為string就會(huì )走setString���。所以這段語(yǔ)句還是會(huì )被select * from user_tbl where id = 1 ‘and user() = 0x726f6f74406c6f63616c686f7374’
我們看到SQL預編譯的算法也是非常簡(jiǎn)單��。
4. MyBatis
MyBatis是一流的持久性框架�,支持自定義SQL�,存儲過(guò)程和高級映射����。MyBatis可以使用簡(jiǎn)單的XML或注釋進(jìn)行配置?����,F在目前國內大部分公司都是采用的MyBatis框架�����。
(1) 環(huán)境搭建:
下面為我們項目目錄結構:
(2) 使用#{}的方式
#{}也就是我們熟知的預編譯方式�。
訪(fǎng)問(wèn)http://localhost:8080/getList?p=m 后正常的返回:
使用http://localhost:8080/getList?p=m' or ‘1’ like ‘1
結果返回為空���。不存在注入����。
我們將斷點(diǎn)斷在PreparedStatementLogger的invoke方法上面�,其實(shí)這里就是一個(gè)代理方法�����。這里我們看到完整的SQL語(yǔ)句�。
同樣我們將斷點(diǎn)斷在:ClientPreparedQueryBindings.setString同樣會(huì )進(jìn)去
Hibernate和MyBatis的預編譯機制是一樣的���。
(3) 使用${}的方式
${}的方式也就是MyBatis的字符串連接方式��。
使用SQLMap很容易就能跑出數據:
(4) 關(guān)于OrderBy
之前有聽(tīng)人說(shuō)Order By后面的語(yǔ)句是不會(huì )參與預編譯?這句話(huà)是錯誤的����。Order By也是會(huì )參與預編譯的�。從我們上面的jdbc的setString算法可以看到��,是因為setString會(huì )在參數的前后加上’’��,變成字符串��。導致Order By失去了原本的意義���。只能說(shuō)是預編譯方式的Order By不適用而已���。所以對于這種Order By的防御的話(huà)建議是直接寫(xiě)死在代碼里面�����。對于Order By方式的注入我們可以通過(guò)返回數據的順序的不同來(lái)獲取數據��。
(5) 關(guān)于useServerPrepStmts
其實(shí)在只有JDBC在開(kāi)啟了useServerPrepStmts=true的情況下才算是真正的預編譯�����。但是如果是字符串的拼接方式����,預編譯是沒(méi)有效果的�。從MySQL的查詢(xún)日志就可以開(kāi)看到��?�?梢钥吹絇repare的語(yǔ)句��。一樣是存在SQL注入的�。
我們使用占位符的方式:
上面的語(yǔ)句就不存在SQL注入了�。
我想這就是JDBC默認為啥不開(kāi)啟useServerPrepStmts=true的原因吧��。
