king

Java安全编码之SQL注入

king 安全防护 2022-11-22 681浏览 0

随着互联网的发展,Java语言在金融服务业、电子商务、大数据技术等方面的应用极其广泛。Java安全编码规范早已成为SDL中不可或缺的一部分。本文以Java项目广泛采用的两个框架Hibernate和MyBatis 为例来介绍,如何在编码过程中避免SQL注入的几种编码方法,包括对预编译的深度解析,以及对预编译理解的几个“误区”进行了解释。

备注,本文是Java语言安全编码会是系列文章的第一篇。

1. 框架介绍

目前Hibernate和MyBatis为java项目广泛采用的两个框架。由于Hibernate使用方便,以前的项目采用Hibernate非常的广泛,但是后面由于Hibernate的侵入式特性,后面慢慢被MyBatis所取代 。下面我们会以SpringBoot为基础,分别搭建Hibernate和MyBatis的漏洞环境。

2. 配置说明

SpringBoot采用2.3.1.RELEASE,MySQL版本为5.7.20。数据库有一张表user_tbl。数据如下:

Java安全编码之SQL注入

3. Hibernate

Hibernate 是一个开放源代码的对象关系映射框架,它对 JDBC 进行了非常轻量级的对象封装,是一个全自动的 ORM 框架。Hibernate 自动生成 SQL 语句,自动执行。

(1) 环境搭建

结构如下,ctl为控制层,service为服务层,dao为持久层。为了方便没有按照标准的接口实现,我们只关注漏洞的部分。

Java安全编码之SQL注入

Beans下User.java对用为user_tbl表结构。

Java安全编码之SQL注入

我们使用/inject 接口,p为接受外部的参数,来查询User的列表,使用fastjson来格化式输出。

Java安全编码之SQL注入

我们回到dao层。

1)SQL注入

SQL注入我们使用字符串拼接方式:

Java安全编码之SQL注入

访问http://localhost:8080/inject?p=m 直接用SQLMap跑一下:

Java安全编码之SQL注入

很容易就注入出数据来了。

2)HQL注入

HQL(Hibernate Query Language)是Hibernate专门用于查询数据的语句,有别于SQL,HQL 更接近于面向对象的思维方式。表名就是对应我们上面的entity配置的。HQL注入利用比SQL注入利用难度大,比如一般程序员不会对系统表进行映射,那么通过系统表获取属性的几乎不可能的,同时由于HQL对于复杂的语句支持比较差,对攻击者来说需要花费更多时间去构造可用的payload,更多详细的语法可以

继续浏览有关 安全 的文章
发表评论