网站建设及运维合同,温州注册网络公司价格多少,vs2010如何做网站,义乌外贸网站开发JAVA代码审计篇-SQL注入1、SQL注入漏洞简介2、SQL注入的条件3、审计方法4、JAVA中执行SQL的几种方式#xff08;1#xff09;使用JDBC的java.sql.Statement执行SQL语句#xff08;2#xff09;使用JDBC的java.sql.PreparedStatement执行SQL语句#xff08;3#xff09;使…
JAVA代码审计篇-SQL注入1、SQL注入漏洞简介2、SQL注入的条件3、审计方法4、JAVA中执行SQL的几种方式1使用JDBC的java.sql.Statement执行SQL语句2使用JDBC的java.sql.PreparedStatement执行SQL语句3使用MyBatis执行SQL语句5、常见SQL注入漏洞代码1SQL语句参数直接动态拼接2预编译有误3order by注入4#和_模糊查询1、SQL注入漏洞简介
1、SQL注入攻击是黑客利用SQL注入漏洞对数据库进行攻击的常用手段之一。攻击者通过浏览器或者其他客户端将恶意SQL语句插入到网站参数中网站应用程序未经过滤便将恶意SQL语句带入数据库执行。 2、SQL注入漏洞可能会造成服务器的数据库信息泄露、数据被窃取、网页被篡改甚至可能会造成网站被挂马、服务器被远程控制、被安装后门等。 3、SQL注入的分类较多一般可笼统地分为数字型注入与字符串型注入两类当然也可以更加详细地分为联合查找型注入、报错注入、时间盲注、布尔盲注等
2、SQL注入的条件
1输入用户可控。 2直接或间接拼入SQL语句执行。
3、审计方法
对于SQL注入漏洞审计常见的方法是根据SELECT、UPDATE等SQL关键字或是通过执行SQL语句定位到存在SQL语句的程序片段随后通过查看SQL语句中是否存在变量的引用并跟踪变量是否可控。因SQL注入漏洞特征性较强在实际的审计过程中我们往往可以通过一些自动化审计工具快速地发现这些可能存在安全问题的代码片段。如使用Fortify等自动化工具。
Java语言本身是一种强类型语言因此在寻找SQL注入漏洞的过程中可以首先找到所有包含SQL语句的点随后观察传参类型是否是String类型只有当传参类型是String类型时我们才可能进行SQL注入。
4、JAVA中执行SQL的几种方式
1使用JDBC的java.sql.Statement执行SQL语句
Statement是Java JDBC下执行SQL语句的一种原生方式执行语句时需要通过拼接来执行。若拼接的语句没有经过过滤将出现SQL注入漏洞
使用方法如下
//注册驱动
Class.forName(oracle.jdbc.driver.0racleDriver)
//获取连接Connection conn DriverManager.getConnection(DBURL,DBUser,DBPassWord);
//创建 Statement 对象Statement state conn.createStatement);//执行 SQL
String sqlSELECT*FROM user WHERE idid;state. executeQuery(sql);案例
Class.forName(com.mysql.cj,jdbc.Driver);
coon DriverManager.getConnection(jdbc:mysql://192.168.88.20:3306/iwebsec?useSSLfalseserverTimezoneUTC,root,root);
String id 2;
String sql select* from user where id id;
ps conn.createStatement();
rs ps.executeQuery(sql);
while(rs.next())
{System.out.println(id:rs,getlnt(id)usermame:rs.getString(username)password:rs.getString(password);
}2使用JDBC的java.sql.PreparedStatement执行SQL语句
PreparedStatement是继承statement的子接口包含已编译的SQL语句。PreparedStatement会预处理SQL语句SQL语句可具有一个或多个IN参数。IN参数的值在SQL语句创建时未被指定而是为每个IN参数保留一个问号作为占位符。每个问号的值必须在该语句执行之前通过适当的setXXX方法来提供。如果是int型则用setInt方法如果是string型则用setString方法。
PreparedStatement预编译的特性使得其执行SQL语句要比Statement快SQL语句会编译在数据库系统中执行计划会被缓存起来使用预处理语句比普通语句更快。PreparedStatement预编译还有另一个优势可以有效地防止SQL注入攻击其相当Statement的升级版。
使用方法如下
//注册驱动
Class. forName(oracle.jdbc.driver.0racleDriver);
//获取连接
Connection conn DriverManager.getConnection(DBURL,DBUser,DBPasWord);
//实例化 PreparedStatement对象
String sql SELECT * FROM user WHERE id ?;
PreparedStatement preparedStatement connection.prepareStatement(sql)
//设置占位符为 id变量
preparedStatement.setlnt(1,id);
//执行 SQL语句
ResultSet resultSet preparedStatement.executeOuery();3使用MyBatis执行SQL语句
MyBatis是一个Java持久化框架它通过XML描述符或注解把对象与存储过程或SQL语句关联起来它支持自定义SQL、存储过程以及高级映射。MyBatis封装了几乎所有的JDBC代码可以完成设置参数和获取结果集的工作。MyBatis可以通过简单的XML或注解将原始类型、接口和JavaPOJOPlain Old Java Objects普通老式Java对象配置并映射为数据库中的记录。要使用MyBatis只需将mybatis-x.x.x.jar文件置于类路径classpath中即可。
使用方法如下
1、 MyBatis注解存储SQL语句
package org.mybatis.example;
public interface BlogMapper{Select(select * from Blog where id #(id)Blog selectBlog(int id);
}2、 MyBatis映射存储SQL语句
?xml version1.0 encodingUTF-8 2
!DOCTYPE mapper PUBLIC -//mybatis.org//DTD Mapper 3.0//ENhttp://mybatis.org/dtd/mybatis-3-mapper.dtdmapper namespaceorg.mybatis.example.BlogMapper
select id-selectBlog parameterTypeint resultTypeBlogselect * from Blog where id #(id
/select
/mapper3、定义主体测试代码文件mybaitstest.java
public class mybaitstest{SqlSessionFactory sessionFactory null;SqlSession sqlSession null;{String resource com/mybatis/mybatisConfigxml;//加载mybatis 的配置文件(它加关联的映射文件)Reader reader null;try{reader Resources.getResourceAsReader(resource);}catch (IOException e) {e.printStackTrace();}//构建 sqlSession 的工厂sessionFactory new SqlSessionFactoryBuilder().build( reader);//创建能执行映射文件中 SQL 的 sSession默认为手动提交事务如果使用自动提交
则加上参数 trucesqlSession sessionFactory.openSession(true);}public void testSelectUser(){String statement com.mybatis.userMapper .getUser;User user sqlSession.selectOne(statement,2);System.out,println(user);}
public static void main(String[] args) throws lOException {new mybaitstest().testSelectUser );
}
}4、定义SQL映射文件userMapper.xml
?xml version1.0 encodingUTF-8
!DOCTYPE mapper PUBLIC -//mybatis.org//DTD Mapper 3.0//EN http://mybatis.org/dtd/mybatis-3maper.dtd
mapper namespace.mybatis.userMapper!-- 据id查询一个User 对象 --select id-getUser resultlypecom.mybatis.sql.Userselect * from users where id#{id}/select
/mapper5、定义MyBatista的mybatisConfig.xml配置文件
?xml version1.0encodingUTF-8?
!DOCTYPE configuration PUBLIC -//mybatis.org//DTD Config 3.0//EN http://mybatis.org/dtd)mybatis-3-config.dtd
configuration!--设置 Mybatis 打印调试 sql --settingsseting nameloglmpl valueSTDOUT LOGGING//settingsenvironments defaultdevelopment!- development:开发环境 work:工作模式 -environment iddevelopmenttransactionManager typeJDBC /!数据连接方式-dataSource typePOOLEDproperty namedriver valuecom.mysql.cj,jdbc.Driver property nameurl valuejdbc:mysql://192.168.88.20:3306/test?serverTimezoneUTC property nameusername valueroot property namepassword valueroot //dataSource/environment/environments!- 注册表映射文件 -mappermapper resourcecom/mybatis/userMapper.xmlmappers
/mappers
/contiguration5、常见SQL注入漏洞代码
1SQL语句参数直接动态拼接
private static final String DBDriver oracle,jdbc.driver.0racleDriver;//驱动
private static final String DBURL dbc:oracle:thin:127.0.0.1:1521:XE;//URL 命名规则;jdbc:oracle:thin:IP 地址:端口号:数据库实例名
private static final String DBUser IWEBSEC;
private static final String DBPassWord IWEBSEC;Connection con null;Statement st null;ResultSet res null;try{//连接Class.forName(DBDriver);//加载数据库驱动con DriverManager.getConnection(DBURL,DBUser, DBPassWord);//连接st con.createStatement0):String idrequest.getParameter(id);res st.executeQuery(SELECT* FROM\IWEBSEC\.\user\ WHERE \id\id);while(res.next0){int p res.getInt(id);String n res.getString(username);String s res.getString(password);}catch (Exception e){out.println(e);}上述代码首先加载数据库驱动然后进行数据库的连接通过“request.getParameter“id””获取了传入id的值并通过 ““SELECT*FROMIWEBSEC”.“user” WHEREidid”直接进行了SQL语句的拼接然后通过st.executeQuery执行SQL语句。此代码id参数可控并且进行SQL语句的拼接存在明显SQL注入漏洞。 输入“http://www.any.com/index.jspid1”返回id1的数据信息 输入“http://www.any.com/index.jspid1 union select nullnullSYS_CONTEXT‘USERENV’‘CURRENT_USER’fromdual”返回联合查询后的数据信息
2预编译有误
使用PrepareStatement执行SQL语句是因为预编译参数化查询能够有效地防止SQL注入但是很多开发者因为个人开发习惯的原因没有按照PrepareStatement正确的开发方式进行数据库连接查询在预编译语句中使用错误编程方式那么即使使用了SQL语句拼接的方式同样也会产生SQL注入漏洞
Class.forName(com.mysql.cj;jdbe.Driver);
conn DriverManager.getConnection(jdbc:mysql://192.168.88.20:3306/iwebsec?useSSLfalseserverTimezoneUTC,root,root);
String usemameuser% or 11#;
String id 2;
String sqlSELECT*FROM user where id ?;
if (!CommonUtils.isEmptyStr(usemame))
sqland usemame like % userame %;
System.out.println(sql);
PreparedStatement preparedStatement conn.preparesStatement(sql);preparedStatement.setString(l,id);
rs preparedStatement.executeQuery(0)上述代码就是典型的预编译错误编程方式虽然id参数使用了PrepareStatement进行SQL查询但是后面的username使用了SQL语句拼接的方式sql“and username like’%”username“%”将username参数进行了拼接这样导致了SQL注入漏洞的产生。传入的username值为“user%‘or’1’‘1’”
3order by注入
有些特殊情况下不能使用PrepareStatement比较典型的就是使用order by子句进行排序。order by子句后面需要加字段名或者字段位置而字段名是不能带引号的否则就会被认为是一个字符串而不是字段名。PrepareStatement是使用占位符传入参数的传递的字符都会有单引号包裹“ps.setString1id”会自动给值加上引号这样就会导致order by子句失效。
例如正常的order by子句为“SELECT*FROM user order by id”
当使用order by子句进行查询时需要使用字符拼接的方式在这种情况下就有可能存在SQL注入。要防御SQL注入就要对进行关键字符串过滤。
典型的漏洞代码如下
Clas.forName(com.mysql.cjdbc.Driver);
conn DriverManager.getConnection(jdbc:mysql://192.168.88.20:3306/websec?useSSLfalseserverTimezoneUTC,root,root);
String id 2 or 1;
String sql SELECT * FROM user order by id;
System.out.printin(sql);
PreparedStatement preparedStatement conn.prepareStatement(sql);
rs preparedStatement.executeQuery();因为order by只能使用字符串拼接的方式当使用“Stringsql“SELECT*FROM user”“order by”id”进行id参数拼接时就出 现了SQL注入漏洞。id参数传入的值为“String id“2 or 11””因为存在SQL注入漏洞故当执行完成后会将所有的user表中信息输出
4#和_模糊查询
在java预编译查询中不会对%和_进行转义处理而%和_刚好是like查询的通配符如果没有做好相关的过滤就有可能导致恶意模 糊查询占用服务器性能甚至可能耗尽资源造成服务器宕机。当传入的username为““%user%””时通过动态调试发现数据库在执行时并没有将%进行转义处理而是作为通配符进行查询的
明天继续写
