|
9 ~1 p$ v6 S6 ?: O1 ?
1.1.Sql 注入攻击原理SQL 注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞要学会如何防御 SQL 注入,首先我们要学习它的原理针对 SQL 注入的攻击行为可描述为通过在用户可控参数中注入 SQL 语法,破坏原有 SQL 结构,达到编写程序时意料之外结果的攻击行为。
; u; v" c# F2 s$ ~. J 其成因可以归结为以下两个原因叠加造成的:程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造 SQL 语句未对用户可控参数进行足够的过滤便将参数内容拼接进入到 SQL 语句中注入攻击的本质,是把用户输入的数据当做代码执行。 7 A9 b0 q I( J6 j2 q* p o8 ^
这里有两个关键条件:用户能够控制输入原本程序要执行的代码,拼接了用户输入的数据1.2.Sql 审计方法手动找的话,可以直接找到 sqlmapper.xml 文件或者直接搜索 select、update、delete、insert “String sql=”等关键词,定位 SQL xml 配置文件。 % H1 I* j; s: g3 i9 i
如果 sql 语句中有出现 $ 进行参数拼接,则存在 SQL 注入风险当找到某个变量关键词有 SQL 注入风险时,可以再根据调用链找到该存在注入风险的业务逻辑代码,查看参数来源是否安全、是否有配置 SQL 危险参数过滤的过滤器,最终确认是否存在 SQL 注入。
2 P0 Q, g+ s) R3 k) C 以下给出可能造成 sql 注入攻击的关键字,审计时可根据实际情况进项查找常见 SQL 语句关键词【一一帮助安全学习,所有资源一一】①网络安全学习路线②20 份渗透测试电子书③安全攻防 357 页笔记④50 份安全攻防面试指南⑤安全红队渗透工具包⑥网络安全必备书籍⑦100 个漏洞实战案例⑧安全大厂内部教程
- o8 |) ^# k% }& L 1.3Sql 注入漏洞危害1 、 攻击者可以做到业务运营的所有数据被攻击对当前数据库用户拥有的所有表数据进行增、删、改、查等操作若当前数据库用户拥有 file_priv 权限,攻击者可通过植入木马的方式进一步控制 DB 所在服务器
9 _* H2 P( J, @. K6 F 若当前数据库用户为高权限用户,攻击者甚至可以直接执行服务器命令从而通过该漏洞直接威胁整个内网系统2、可能对业务造成的影响① 用户信息被篡改② 攻击者偷取代码和用户数据恶意获取线上代码被非法篡改,并造成为恶意攻击者输送流量或其他利益的影响 % \) a7 Z5 _) b7 m+ p
1.4Sql 注入漏洞代码示例Java 代码动态构建 SQLStatement stmt = null;
' E2 l4 W, c: D: j1 L8 M. F1 p, g4 Y8 E5 s1 O8 ?
4 v2 B5 B- K4 s) ~3 J: Z
ResultSet rs = null;
, \2 t0 o8 f5 \3 z0 @
' [) P% p) s1 ~4 E f0 E$ g
) p/ U1 ]# h( [. } t( t) | try{
8 o. G5 R3 V8 o# r. ]. h$ @2 J2 ]6 K) ~) Z0 F$ s- b' D7 v! i
: x9 o/ e- {9 G! D8 j4 U+ @ String userName = ctx.getAuthenticatedUserName();
! d) v, L; e2 C" Y E //this is a constantString sqlString = "SELECT * FROM t_item WHERE owner=" + userName + " AND itemName=" + R7 y+ U# x7 z1 j0 b9 }# k7 e$ N
+ request.getParameter("itemName") + "";. B# x! T g# i$ @
) x8 W8 [ |( J& _, }, v+ d
3 Z) S1 F% X! |( R' N8 q. p6 d
stmt = connection.createStatement();
7 d6 e+ N2 p. z/ F
3 r4 B9 V. W4 n( d; H' j# J5 d$ c0 o% f+ G0 l1 c7 f, u
rs = stmt.executeQuery(sqlString);$ Y: x: X2 g* q5 @+ |% C
: l7 @) O4 F& H- g" e
4 h. O5 B$ _4 n( q! v) t 2 d- E: X" f4 h
// ... result set handling
6 @* r1 m% D% U
K4 S! ~# F% U5 B7 S. F$ I6 m4 n7 j( b0 v
}
( Z* {3 C5 S$ A: Z% f" Z6 @1 H1 J) a' j$ @2 N1 C M& H
2 h, C6 X5 y( W/ w+ w
catch (SQLException se){
/ p+ m6 Z7 K9 V, c: O# P
, ?% ^- ]; s9 {/ X3 ?5 Z& T! N
// ... logging and error handling3 W$ z. x3 e9 |/ O! u
3 a0 X R) q. c1 }& {: }
' J( ~1 Z) `; P2 ~ }' R( ^( m" _6 K' B1 l
D8 M$ r* B1 O* l6 z 复制代码 . x7 N2 }. U) e. q- _, `- k1 n
这里将查询字符串常量与用户输入进行拼接来动态构建 SQL 查询命令仅当 itemName 不包含单引号时,这条查询语句的行为才会是正确的如果一个攻击者以用户名 wiley 发起一个请求,并使用以下条目名称参数进行查询:。 " N b$ M: K6 d/ _: ?$ ?. F
name OR a = a( m+ o7 `" d, n& Z5 I+ ~' A
7 K8 [6 c2 ], H
复制代码那么这个查询将变成:SELECT * FROM t_item WHERE owner = wileyAND itemname = nameORa=a;
" y/ ~8 V+ |" E6 w) C8 t/ i t7 p) s' e# ?0 i: J
复制代码此处,额外的 OR a=a条件导致整个 WHERE 子句的值总为真。 4 P$ T5 b( D. |
那么,这个查询便等价于如下非常简单的查询:SELECT * FROM t_item) n% B- Z' e% x! e8 Y+ m5 {
9 z* b6 s8 T& Q0 r+ [- O
复制代码这个简化的查询使得攻击者能够绕过原有的条件限制:这个查询会返回 items 表中所有储存的条目,而不管它们的所有者是谁,而原本应该只返回属于当前已认证用户的条目。
' E$ u. Y, U* b z: f3 [# b2 x 在存储过程中动态构建 SQLJava 代码:CallableStatement = null" W0 a" e8 Z% @8 t
8 h0 f$ s# D* t. a+ a; Z1 ?2 i# [
' s: E: R" o8 z# x }/ U7 K# c. b9 f ResultSet results = null;" }% n. C7 B/ G! p+ E( ^
9 M$ h7 c5 W. G; ^9 w
0 L" I7 f3 T P3 j" _ try
9 x- X" o, I; D. W/ |
$ h+ [0 k& H U) Q2 i
0 O' \1 t$ t- ~2 P$ z% _" m {: l3 s( f8 o5 ? E6 M. o
. d1 }# O- |- g; `! m2 y, n
% G% v' `7 f9 x. a, W+ T6 ^
String userName = ctx.getAuthenticatedUserName(); % s8 M- u. ^. L/ I: G1 n$ F4 i
//this is a constant! a- ]7 h7 q' w2 A4 F( ]
8 _4 D; G. g. n' d
" ^6 I' q8 b2 O0 x2 f5 k String itemName = request.getParameter("itemName");
& J/ K/ A! G/ K# ?- `$ k4 U( `) _* Y/ E* V
. i8 D: l7 z; u: e. v9 s: o cs = connection.prepareCall(
% b7 K B$ P' _ "{call sp_queryItem(?,?)}");
( O! c3 }0 ~8 P
0 c( D3 O9 _7 V
: R" ~8 c) ] L" j# ? cs.setString(1, userName);
S3 P" g" o) i7 U* e3 l. \3 ?( S" i; i% u$ Y8 h* p! y2 Y
% B: O* g1 I( |4 V# ] cs.setString(2, itemName);
8 D" {; ^% ?/ x) d
( u$ d4 `3 ^1 u- E+ B$ K* a
* D/ s& V4 J" } a% x results = cs.executeQuery();3 a) q* W+ x$ R2 Y1 U) G' m
& t( i b6 o; g; B* i& ?9 n
0 |% _/ J0 {2 y" R* [: C( |, n
~' J$ V4 P: R; E* U6 o" I: e // ... result set handling: N% |% Z( e3 H6 Q) z m; W
3 l. H0 X0 |: Z; |8 K- c, E
& F! c: L5 W y% y! n4 L( ] }4 k! J5 m s4 ~- V/ h
; O, n) ~' s2 g) w, B
5 V: g- |: }6 p7 c0 m catch (SQLException se)3 `$ Z6 x6 J a- s I9 B
9 y/ L# J Y7 A$ U
9 F; V$ @, ^, I! W9 R
{+ ^1 z+ O! V* h
6 k% \8 p" H& q$ Z3 e
# w& e+ t4 j6 Q9 J# F6 S: Q // ... logging and error handling. Y/ d# ^% N" d4 p: U/ B2 w4 b
! C% Q3 g$ F# ^: E
7 z" b7 b1 j; K" O }
4 g5 M, F$ T2 g; ]0 l; {* c0 |( z4 K2 a P2 X+ _
4 ?6 ^7 R$ T8 h+ A2 ]$ [ SQL Server存储过程:
w: }" x" [: P6 U$ c! _4 h, ^" _
8 [3 `, {; T. }( p6 n) ?- e
, T8 W' h; d6 A CREATE PROCEDURE sp_queryItem/ t3 Q( H+ F- \$ g3 w# |
9 L6 w G0 [0 A8 M5 [1 a
+ I2 \3 O( f0 m7 e2 y @userName varchar(
U u, M" T$ [/ c0 K 50)," s! f5 m0 L! k4 X9 S
5 ?) R6 Y5 l% y; U& t3 k; V
* Z: B+ U/ [/ @* h* K. t' `" S @itemName varchar(50)
0 `9 T1 z k# R* A" x+ E: c2 X! q; a, B
' D9 T7 G3 i; C! Q6 q: n
5 |( n9 G7 v0 c3 v8 a0 E AS
" I0 W' D6 [: O2 z. O" X7 A
p; S/ Y3 k; B' F5 i8 ]
! \7 ^$ W+ e/ W+ ]0 V BEGIN
4 |: k/ z7 u+ a% R3 G: [3 F, j, _2 r6 w2 k0 f
+ W. {2 e7 h! u1 S
DECLARE @sql nvarchar(500);
, [4 m0 p* J( n% z4 l
8 }& N. n4 T! u. b" S4 L L) O+ U
; [4 F& p* x6 N8 l2 Q SET @sql = SELECT * FROM t_item
! C- L/ d% G# y! j& g& k- s5 X. u" n' J4 ]* S- _5 R
1 W: C% T9 N! r8 a8 R/ e' i5 s4 _* j
WHERE owner =
9 y4 ~' F( q& J! B6 q + @userName +9 Q& O+ B# Q5 m; A4 i1 s
* A* e- P# f; Z; y
3 E7 [9 g, A& E9 F* v1 B AND itemName = + @itemName + ;
3 _2 X: Q$ n% \7 x6 n, B% k& I" x, O) e: f7 {3 E: h! {- p# ^# ~' `
7 h3 [. H5 ~6 @- J9 k5 c" F( y EXEC(@sql);& c) b5 h; `4 Y8 z* b" Q
6 c% h" v- G. L2 f. L( a/ L Y% r
' i& D9 {$ G7 m9 G END2 {/ e4 n1 v0 Z$ Q1 O
2 N/ |) k$ X( u3 @
` N5 X0 p/ D# P GO6 o+ ^/ w ~) }" b
+ w1 B% w6 ~2 b$ N5 y1 U 复制代码在存储过程中,通过拼接参数值来构建查询字符串,和在应用程序代码中拼接参数一样,同样是有 SQL 注入风险的。
+ V$ m1 e2 |( p% g Hibernate 动态构建 SQL/HQL原生 SQL 查询:String userName = ctx.getAuthenticatedUserName(); //this is a constant
. N8 T) w6 c1 J& W2 p
8 J9 E% u3 _. w- V3 K
! ?- I8 f- W' G+ X8 ?. k* Z
' i' d! d* K8 b& l String itemName = request.getParameter("itemName");; [! e2 ]4 x8 \
, t g: T! z$ i) \! c
2 O$ ^7 [2 i1 @4 z+ d1 [8 y3 ~4 `& X. U
Query sqlQuery = session.createSQLQuery("select * from t_item where owner = " 2 \7 F& R7 V' E7 ?3 c5 w$ ~/ m
+ userName + " and itemName = " + itemName + "");
9 I: e$ u+ w6 ~/ k% R+ X! m) G$ I% Y; i& \$ J5 L- Y' B3 ?
?* M1 D# W; I: a' u
List rs = (List) sqlQuery.list();
' j2 G# c; h( Q0 v. g
* {7 H2 f/ m" T- |9 f 复制代码
4 ]" E& u* s2 f, F7 d HQL 查询:String userName = ctx.getAuthenticatedUserName(); //this is a constant6 X& p. O5 ~) F5 {4 Q0 e3 |, T
/ x( Y3 U! V! x! K/ e
# H$ l( ~* }# T& M, j6 H9 r6 } String itemName = request.getParameter(
N7 h; U# G5 o; }9 H% _" V. \9 g$ C/ r2 Y "itemName");- Q# x" I' \5 B( D1 u! {2 h
& O! ~! k, @. I. K" k9 u* h% s
; w# c3 v' u2 I( W- ]" N% I+ v Query hqlQuery = session.createQuery("from Item as item where item.owner = " + userName + 9 I$ k' {0 o0 ~
" and item.itemName = " + itemName + "");% M# z H1 d$ I1 d
6 B4 |2 Z# c6 j3 q3 E
* D5 Q, G. y/ G! h List hrs = (List) hqlQuery.list();
9 N4 r* s8 I2 c6 @
5 Y$ E& a4 X- o+ |1 j, U 复制代码即使是使用 Hibernate,如果在动态构建 SQL/HQL 查询时包含了不可信输入,同样也会面临 SQL/HQL 注入的问题。
5 N% g2 ]* ^2 L( h# U' w9 H9 z HQL 代码中,session.createQuery 使用 HQL 语句将查询到的数据存到到 list 集合中,需要时在拿出来使用而参数中 itemName 是通过 request.getParameter 直接获取。
/ H* \: o9 P. [ 攻击者若在此处写入恶意语句,程序将恶意语句查询出来的数据存放在 list 集合中,再通过某处调用成功将数据显示在前台Mybatis 注入分析Mybatis 框架下易产生 SQL 注入漏洞的情况主要分为以下三种:
4 J& h$ S$ n/ w: A 1)模糊查询 like例如对人员姓名检索进行模糊查询,如果考虑安全编码规范问题,其对应的 SQL 语句如下:Select * fromuserwherenamelike%#{name}%复制代码但由于这样写程序会报错,研发人员将 SQL 查询语句修改如下:
4 T( |# d1 [% a3 T; J; L Select * fromuserwherenamelike%${name}%复制代码在这种情况下我们发现程序不再报错,但是此时产生了 SQL 语句拼接问题,如果 java 代码层面没有对用户输入的内容做处理势必会产生 SQL 注入漏洞。 0 r8 ^- {9 U' M
2)in 之后的参数例如对人员姓名进行同条件多值检索的时候,如当用户输入 001,002,003...时,如果考虑安全编码规范问题,其对应的 SQL 语句如下:Select * fromnamewhere
" X% f7 a9 E! H! P" w idin (#{id})复制代码但由于这样写程序会报错,研发人员将 SQL 查询语句修改如下:Select * fromnamewhereidin (${id})
) s: P7 {8 X4 Z/ x4 @
7 S& \6 Z' J8 S) t 复制代码修改 SQL 语句之后,程序停止报错,但是却引入了 SQL 语句拼接的问题,如果没有对用户输入的内容做过滤,势必会产生 SQL 注入漏洞。
+ Z1 Q6 C& p* d" I 3)order by 之后(重点和区分点)当根据姓名、id 序号等信息用户进行排序的时候,如果考虑安全编码规范问题,其对应的 SQL 语句如下:Select * fromuserwherename =
4 `6 c6 X. p, H; Y4 U. C qihooorderby#{id} desc复制代码但由于发布时间 id 不是用户输入的参数,无法使用预编译研发人员将 SQL 查询语句修改如下:Select * fromuserwherename =
4 K( E0 c( h7 b' B0 w Z5 F- J& p qihooorderby ${id} desc复制代码修改之后,程序未通过预编译,但是产生了 SQL 语句拼接问题,极有可能引发 SQL 注入漏洞1.5.实战案例-OFCMS SQL 注入漏洞分析本文中使用 ofcms 进行 SQL 注入漏洞讲解,此 CMS 算是对新手学习代码审计比较友好的 CMS。 2 N3 B- r- c" g6 i
上述为安装成功页面,如何安装 CMS 本章不在赘述。后台页面:http://localhost:8080/ofcms-admin/admin/index.html
5 Z2 k/ m4 s% q% ^$ a6 N 漏洞点:ofcms-admin/src/main/java/com/ofsoft/cms/admin/controller/system/SystemGeneratrController.java
9 W, e9 J0 a0 A8 F
, V' z5 N2 Y" h1 ]. }" i: K7 R
; f5 a: |1 m. b8 Z" b" ^( D+ X( u ~ create方法" u6 h0 z+ W; R, s' P& E
2 }, [, |7 r0 R( K. A
1 [* I+ q# _/ M! @# A( P
|! p' l$ l# ]' I7 Z- m: b
. k4 p3 K2 ~4 r9 T
' E6 K! ~+ I d" N( Y) b 5 @+ c7 h4 ~) g* v! W
/**/ o n4 G& }6 h" T
! |6 }" y) I" q" R) n6 |2 X# `# ?: [& K" |1 u6 `
* 创建表( H1 W- Z [: l
+ q$ D1 u/ ~8 x7 A$ h9 }' C) [+ }6 r V$ Q
*/publicvoidcreate() {
3 \4 |+ {$ ~! P( A: M1 G
- K0 g) ?: t g( G
. K) a9 T1 ? x0 H, z try {
$ ^3 Z! t- l, y8 E- i# p) q) j3 B7 u: Y% A
& \. z* n, A1 r$ f; d& g2 g. ` String sql = getPara("sql");
+ u& E$ L3 @; L* V/ r& C! V& X# w4 `2 Q9 g
/ I# [; N% K' H+ M0 K
Db.update(sql);
! o4 J6 C5 B) S% v0 ~3 V A9 v7 e: o' D
% P( X; N: F6 [" c- @) U* G5 Q
rendSuccessJson();" h# \8 P- Z5 ~5 g: t/ J
, A& t# n( \! ^ E
e. e1 t8 @7 ~ }
" l8 P8 M7 [6 T ` catch (Exception e) {: J& G: H5 @+ `$ Z
% H+ Q, m8 P& Y6 {4 _" Q5 R9 O
& @! o9 m+ `8 ?/ u$ h/ K0 D7 T e.printStackTrace();
+ ~. Q1 C: I# F. V6 j
3 h; u5 i7 j5 C% W+ l* w" P: s
( K+ y5 _& J( ~1 `. s7 P- R rendFailedJson(ErrorCode.get("9999"), e.getMessage());
$ F: ^0 s5 n/ k- |+ A$ S! F" @. V4 b8 [0 R
9 n5 p5 A2 Q" W, W$ _- _ }3 w- I1 g! D* n% c, u2 O
- i& Z1 o8 Y( h& X$ I. q
" w6 l# G$ C/ X6 z4 I }2 _. ^! v' G# C% q( z) Q
- q" S) f; N8 f* s+ L6 } W. w }
+ ^) A( W9 n) M# `9 g" h2 } 复制代码上述代码中使用 getpara 获取 sql 的参数值,并 update,跟进一下 getpara 和 update 方法跳转至jfinal-3.2.jar/com/jfinal/core/controller.class。 % O6 z8 i# k* V6 Q9 T ]% x1 k
public String getPara(String name) {
$ }1 z7 J& S3 Z8 b' c5 j8 _- o* r0 d1 t" y$ a9 Z4 ^7 O
9 j; w% g6 z( F/ B4 p% Q returnthis.request.getParameter(name);
6 ^5 u8 a& _5 [8 q) S* J0 H, k" |& `) K7 G' H" b3 s
/ C2 v: V* F7 E }0 z; f" G9 ^$ N8 v4 _4 B% `
7 A1 S' [ B! E/ U: g7 t5 M; N
复制代码上述代码无特殊用意,就是获取参数值,继续跟进 Db.update 方法。
, c; p+ ?, c+ ], G" ?, n: t 跳转至jfinal-3.2.jar/com/jfinal/plugin/activerecord/Db.classpublicstaticintupdate(String sql){
1 _0 @" M' ]: V9 a, L) ~0 W$ O
0 C: \ _9 ~2 H! P5 y6 ?0 L
# f+ W( J. ~3 t return MAIN.update(sql);' D0 \, a8 ~3 X+ \! J
$ H8 B2 F) P* F) g+ F0 H
; V9 e! u) {* x9 I
}
$ K+ @* `: a7 H) I+ ^% _
1 [" [6 I6 R0 Y& c1 ^
) p% G& g+ k! r: Z$ f 复制代码发现调用 MAIN.update , 继续跟进跳转至jfinal-3.2.jar/com/jfinal/plugin/activerecord/DbPro.classpublicintupdate。
. g2 s a' Z- t (String sql){
[6 _: d3 U1 y6 ]5 N
" V( i7 R: C& J
3 }& k# ?. P- E: B returnthis.update(sql, DbKit.NULL_PARA_ARRAY);
% O* S$ b7 z3 A) z0 l( J' e J8 n( k- Y( e
! y8 R0 @* p3 N& ^; E# l }' G* w- s9 T+ V# O& F
6 T9 I& F6 N6 t n0 n- Y; a7 x( z0 V 复制代码继续跟进到最后,发现华点public int update(String sql, Object... paras) {
: v4 S( ^1 N: a8 C5 c! U: B1 J& b: P! Q4 Y G0 t* @2 r8 c' D# U
/ G" U* G- u9 i Connection conn = 。
1 ]* J8 r/ i; N null;- Z1 L0 k$ M: q& y
: K/ L3 ?4 C1 {& F! J8 y
+ F8 |& G3 j8 D8 N l int var4;- ~" v" b2 e0 i: W
" M9 Q- ~$ S& A0 H; z
' P' a* {" i6 ^4 W" Q" j- Q
try {
2 U: S/ G4 H2 V& S4 C4 y% ~7 I5 V! V$ g! c, x- P! Z
* n8 T( @1 A3 I& u" W1 ^4 x conn = this.config.getConnection();//连接: R5 g- L; o- H* }* s% p6 m
$ d5 N9 P$ A* Z# _. J! i- O) r
`7 Y: W. \4 i$ ^2 p var4 = this.update(this.config, conn, sql, paras);
0 T* K$ P. U- J/ x! b S/ k //调用update更新0 y4 k$ U- V& D: }5 \5 N7 _ k4 e# X, E
2 t' X8 S! e- Y) _) }. e" S. C
/ W/ }* f) q% ~# T; [ } catch (Exception var8) {
9 o( ?1 ?2 u, M4 U% m" s: W1 L' Q" q, u8 M2 Y
% C; }- l0 V) @9 w# k7 V2 C throw new ActiveRecordException(var8);
- A1 q; g! w' A- I
3 A% }9 J3 X1 W2 B' X$ {
1 s8 n( \* p, W: d. B } finally {) [ `- ?9 H5 q
1 I2 R. C C$ r# z; M; b
{& c% R) b$ Y; d# N this & e7 ~& L1 o! m& n6 d6 E/ ^: P' I: g
.config.close(conn);3 [8 q: A( @, D. m6 r# l4 }
/ ^3 e8 `$ J" G/ E) S8 w0 t3 Q
3 g s3 ^0 y8 \& r; ?7 ^" |7 C
}- C8 `+ y9 d) h+ a
4 ~: O1 s J. W" J" ]
$ x. c) ?$ R, q
return var4;
# f' L# O9 f3 y: S! V% a8 G
' ^* M5 ]7 J; C9 C- o, U$ g( L& P& n- g! J4 R. T
}
9 d/ U5 J9 y$ q: e0 K5 [! K: {9 v' Z1 t9 C5 ^! M7 u8 [) Y+ k5 r$ C
复制代码重点:Object...Object 是所有类的基类,而 Object... 是不确定方法参数情况下的一种多态表现形式(可以传递多个参数)。
" R& Q7 A$ V9 j" g; k+ Y 再继续跟进 update ,同文件代码intupdate(Config config, Connection conn, String sql, Object... paras)throws SQLException ; i+ g! G) u8 N% ^
{# _9 I# n, `+ s7 Y9 R7 v# z4 h/ q
/ |/ j, P0 T* P o" _
6 ?: ^; U* l: _
PreparedStatement pst = conn.prepareStatement(sql);: l# @8 l2 F4 M- ?2 T3 j- q/ o8 F( W4 h
2 M3 \7 \8 V8 K( T+ G$ U$ q; F
3 y/ n2 E' i# L5 r' b0 T$ P config.dialect.fillStatement(pst, paras);
3 p9 N. Y* [. D" K- B- O$ w
3 G. A( q# h8 L# K
, }8 \( T+ M% A i6 M6 Y0 U2 q & K( [$ @! C; E: E0 D
int result = pst.executeUpdate();
* q& E Z3 Z8 u. R6 _
0 j2 Y9 } ]( d, P/ s7 O1 v- b, M+ T) K
DbKit.close(pst);- d; T2 S9 Q5 r
0 [, U) w& g! @+ k, n) w3 v) \
4 _9 w7 Q8 D$ a3 M/ G3 p return result;# R1 u4 z4 v5 s: o- |- Z4 R
V2 d! z* i- }
! ~; G& i/ Y; a
}+ m1 o2 w$ B; {$ l% K) W) i$ i
6 P* X- X9 O9 a0 b) Y
复制代码上述代码执行 SQL 语句,并返回结果至此,整个功能流程结束,在我们跟进的过程中,代码中无任何过滤语句,获取参数值,调用 update 方法更新,更新成功后返回结果。
2 U2 z3 ^8 @+ g8 i1 b' @6 f1 M 漏洞验证 4 r% k) B, j8 k" `& T
漏洞点打上断点,网页中输入 poc 进行验证update of_cms_topic set topic_url=updatexml(1,concat(0x7e,(user())),0) where topic_id = % }5 d% q" b6 K- M
1复制代码   
# L' L" U" r) u4 w, E3 U, j 根据如上截图可看出我们传入的 SQL 语句是被完整的接收,并未做任何过滤直接带入数据库执行,所以此处直接写入漏洞代码爆出当前数据库账户为 root上述为 sqlmap 工具跑出来的注入点1.6漏洞修复方法。
8 E: Y% K* r: Z& E1 B# i 添加全局过滤器,过滤特殊字符 4 q4 s) f3 R- ~
SQLFilter.java 中: . R: F: P" b+ t8 p) [5 h, ?
PreparedStatement 参数化如果使用参数化查询,则在 SQL 语句中使用占位符表示需在运行时确定的参数值参数化查询使得 SQL 查询的语义逻辑被预先定义,而实际的查询参数值则等到程序运行时再确定。 5 S2 O& Y5 v. K0 ^$ V y
参数化查询使得数据库能够区分 SQL 语句中语义逻辑和数据参数,以确保用户输入无法改变预期的 SQL 查询语义逻辑在 Java 中,可以使用 java.sql.PreparedStatement 来对数据库发起参数化查询。 5 k( ]) ~- F5 _ [- p: ~
在这个正确示例中,如果一个攻击者将 itemName 输入为 name OR a = a,这个参数化查询将免受攻击,而是会查找一个 itemName 匹配 name OR a = a 这个字符串的条目PreparedStatement stmt =
! M9 q( h9 a' i) K null
6 U* t) X% @' n# L' ]1 }$ F8 z7 u/ n
9 S Y$ U4 `: C! ]
/ V3 j# T# F% X+ k7 B+ C% V ResultSet rs = nulltry5 S4 U' o9 L/ i' f6 F/ t9 v
' @! e+ E9 m% n9 B$ N; f. c) v& }$ i( N
{
3 y/ K9 a4 `1 |& ? ]" _
% } J0 L5 k' ]
0 |, m- D3 w5 s' } D1 L String userName = ctx.getAuthenticatedUserName(); //this is a constant
) L; R5 F' v/ o$ c0 k- @( A$ m5 ] String itemName = request.getParameter("itemName");
9 o" v% B5 v3 ]' a
1 f# A$ H. V2 k' m3 Q# K) f& @2 q# R3 p7 ?- Q$ |$ @
// ...Ensure that the length of userName and itemName is legitimate 9 y7 C# @1 U9 c( ]9 W- ~
// ...String sqlString = "SELECT * FROM t_item WHERE owner=? AND itemName=?";$ Y* L- U7 i* ^8 @+ F
8 F3 ]/ m1 {7 H( N4 C
+ i! ?. j& \5 ^& e" A8 U* w0 W
stmt = connection.prepareStatement(sqlString);) H" ^; r& {& C7 y; q8 n. U
5 u0 d9 p/ P! m
" v5 `# G# R6 I7 ~4 ~) G stmt.setString( ( P! m N/ f( f6 |
1, userName);4 O+ a& t1 u1 ~
6 p3 V' L' c# p. ]3 ^! Z
9 d9 N" s! n7 d* f( P1 R+ t2 p
stmt.setString(2, itemName);
l1 ?* j; r, U& ^: ^7 O
$ d% V! B, S# J4 G* S5 y9 ? D! m! p& N% ?# G/ p+ R% l+ T8 h) q6 i
rs = stmt.executeQuery();
" Y& A, ] m1 [9 o1 N0 Y: R1 U& r! X9 m, ]
# C7 t" g) o5 w$ H // ... result set handling 3 E; N/ \. g4 G$ W8 m5 }' e
u* B& q1 F0 J3 }/ S
, K6 I) Z2 @5 m2 {& m1 T
6 ~( |& c K) P }
; y: n+ r3 i$ ?- I% S: Q7 N) L9 q- y- N) R# O$ L% X
' p3 l, l& U' T4 H& I- x0 @/ N2 W2 O3 u
catch (SQLException se)
C. V Y' `# E3 Z) S7 X! G# e% b$ s1 v' i, r) }% g2 N
. ~% U0 G' P, ]( x {
- O) B( U! f! U ?* K% u9 E1 l3 {- [, f1 G' Y y3 N
. l* e( G& ~6 ?" O8 Q) n3 r2 Q // ... logging and error handling# Q$ x8 w) z j5 {. `, ~
9 h- F: K" \! b7 H* h; F* d5 A! H" w; T( G9 H
}
" U: c1 v; J! t# E3 ]( c
* F2 C- N+ ]8 {1 Q8 ?1 C+ k8 `$ F 复制代码存储过程参数化这个存储过程使用参数化查询,而未包含不安全的动态 SQL 构建。 ) d" L0 V* K1 ~7 V& f c+ n
数据库编译此存储过程时,会生成一个 SELECT 查询的执行计划,只允许原始的 SQL 语义被执行任何参数值,即使是被注入的 SQL 语句也不会被执行,因为它们不是执行计划的一部分CallableStatement = 3 @) a$ f* q) u V
null
) r1 ?# J( A8 s+ c& m
9 ^' C/ B- I- o, u% L' ~: |5 Y% E- Y0 O3 d3 C% W
ResultSet results = null;5 p: w- [, ]* _. t2 V7 x
9 X" T' F% ~ }. P3 N( Y/ y2 X
: ? t8 ~( u* l2 O; S2 ] try
+ h6 n' c7 U& j0 e7 j8 `! L; u
$ A% _) J3 H3 W! _) T6 f: R1 W9 C3 E, x$ V0 T8 r
{6 C6 Y8 x* h: s$ s9 S( _
' q/ v+ J9 B! C# g: V
. w! ^! q+ f* b5 u0 J String userName = ctx.getAuthenticatedUserName(); //this is a constant
- _' f% G7 o' K' y String itemName = request.getParameter("itemName");1 D/ B9 X' j& x
8 Z0 z) J/ w. N! ]. @! c, c
; O; u8 ?* ]% o( Y) A9 C/ S
// ... Ensure that the length of userName and itemName is legitimate ; V& `2 W/ ?/ ^
// ...
5 \0 S1 O2 r# L( \ J4 Z' p- i$ G& f4 _* o8 H" j
8 S" @. r( H) E cs = connection.prepareCall("{call sp_queryItem(?,?)}");
2 K; Y: B- a, u6 Z7 Z* y0 l0 A, C; r
1 }) s f- _. r5 j- F% ~& P* K
cs.setString(1, userName);8 s9 F2 V( k" T
* P0 u" \* R7 e2 D! f2 k8 M+ S$ ^# ?3 c" C9 n; [, g
cs.setString(
) u8 x1 a% K; ]2 j# k4 W- \) E 2, itemName);
6 \ |0 Y# ~! R X: v& ^) @4 O' B8 e: |, n. _6 Y, D
2 Q5 r) S& M5 t; O `, _- [ results = cs.executeQuery();( }- m/ \% A! j# R
$ v" W; S8 Z8 B: O- C
. v3 t& g) y, [/ a0 W: G# } // ... result set handling; H4 s5 L, `7 H# s7 n
$ a1 [7 k4 F- A8 T
8 _# H- F& k/ \8 g0 c5 L w+ C9 X }
7 V/ E3 y& T* f5 {+ n1 D
, o/ d+ |; j; n4 E9 A2 K3 y+ c. J4 A m3 ?) \7 T
catch (SQLException se)
0 e& J* s# D3 ?# p9 J
5 |) A* n+ m# U; E/ N2 C' y* g: q ~
{
9 r3 P7 c+ @4 B l. F
1 q2 i' J3 S$ B( p' C* m8 C& n$ x* p' V! U$ t; f) C/ ?! W
9 b' Z% E1 q( y H- n) F
// ... logging and error handling2 y/ Q4 |5 [/ k' m8 n9 V
# Z; i; g8 B4 v% g7 J$ H9 _
1 d( ` U, @" l: j# E6 I }
) W* e& K: R w9 _
( u( W5 D4 |7 o, e& m# q% J1 D 复制代码Hibernate 参数化查询Hibernate 支持 SQL/HQL 参数化查询为了防止 SQL 注入以及改善性能,以上这些示例使用了参数化绑定 的方式来设置查询参数。 + c! q6 {9 y$ ?4 r" K- {4 ~0 g
String userName = ctx.getAuthenticatedUserName(); //this is a constant$ j+ B7 C3 S" D- }9 \; R" u
7 i% n8 Q" }: _8 k* i9 q) W) V8 Y
1 o2 G! c' y) y* B6 e& y k( v String itemName = request.getParameter(
! Q& R+ T, z6 K "itemName");
. S" `2 ^% `+ U! ~: S9 j5 V/ L5 W& B2 y. A1 `# k/ P
: _8 j3 F6 e; r% T5 b Query hqlQuery = session.createQuery("from Item as item where item.owner = ? and item.itemName = ?"
, r. ?/ x2 Y6 z );
! n4 [2 R, m* P% r# b% g3 [7 ?6 t3 k8 |
" v0 H. B. X0 e" x1 s9 \8 { hqlQuery.setString(1, userName);
1 o0 S/ s1 E A% r: H
4 o4 L# ?- x0 A- x$ \) V, n; Q9 z B5 Y( z; \) x
hqlQuery.setString(2, itemName);* Q4 C t; @* Z. ]9 m" y
& r/ o v9 Y7 Y$ Q: I) @ U/ x+ I6 o! h# S; Z! T
List rs = (List) hqlQuery.
7 @" ]! {6 }0 P; \3 a) ? list();' M" Z) n5 S( K- W$ K I
0 Z9 _+ q$ V: N+ S- ?, R! {( U
复制代码HQL 基于名称的参数化查询String userName = ctx.getAuthenticatedUserName(); //this is a constant# j/ B0 C0 X9 S m q
" G2 L* s6 o3 _8 z" _0 Y. B
7 J1 s2 n6 Y/ Q String itemName = request.getParameter( 9 |) Y0 f% G! u; a% J; k
"itemName");9 f n) S( Y- U2 U/ @
0 m8 m0 P$ b# {! s) z7 Y. I. l+ [% f
3 X& p E" R7 R
Query hqlQuery = session.createQuery("from Item as item where item.owner = wner and item.itemName = :itemName"
. } k9 i0 N5 z );
6 w; u4 [: W& C) W, B7 S) M9 E0 T4 Z$ B7 h7 m o2 {. x+ |
6 ?4 u2 U+ Y1 r" C# b$ h. D
hqlQuery.setString("owner", userName);
2 k/ h E* q! Y6 X4 k4 R8 U% z
, o' I: Q& n! f& _, |4 h- I
9 [# M+ f/ b0 D' e! k hqlQuery.setString("itemName", itemName);
) [. K8 ]8 w! y0 d5 v9 C% n$ S3 H2 U# b" | I& M A
2 ~0 K" V1 o/ k* N& I
List rs = ( & @# S* Z& {' v
List) hqlQuery.list();: \4 G ?; S) q8 a
% H4 P$ a7 M V3 J# H 复制代码原生参数化查询String userName = ctx.getAuthenticatedUserName(); //this is a constant
( I8 K; ^# w) @- L" n
. B& ?$ x. P; I$ A/ t k1 n$ Z
+ y9 x A* z# w% b3 u% y* F
7 L1 n; Y* M) N! J( @ String itemName = request.getParameter("itemName");3 F! o& M- F# E- s$ C: s
# Y% R7 l. D$ w9 @: u2 }! B" X
8 @4 W9 Z# e+ B8 N Query sqlQuery = session.createSQLQuery("select * from t_item where owner = ? and itemName = ?" ' `& s& T* o' l- t$ X; q
);
! ]% E0 q# h' D) A& L6 P2 X. t2 F8 i6 v) [2 Z( k; o! O' ~1 W: L+ D
) t$ f. J/ U1 W sqlQuery.setString(0, owner);( S/ K- A- T$ E7 p1 `8 y0 O9 a C
0 }' `1 h) C9 N9 r" a( s, s
( U n. S5 d8 f- b% j
sqlQuery.setString(1, itemName);# I5 |! V* z) v
- T, X! m6 m; q2 A; |$ w$ `
$ ]: \- N0 T( Y, p5 I* U( G List rs = (List) sqlQuery. . S* ?: d0 `! b3 B1 Q3 A; J
list();3 `) O" S* N0 d7 |. w) M1 ], b
4 L7 A% r5 h8 Q1 W
复制代码MyBatis 框架的修复方案尽量使用 #描述参数,如果一定要使用 $,则需要自己过滤用户输入模糊查询 like SQL 注入修复建议按照新闻标题对新闻进行模糊查询,可将 SQL 查询语句设计如下: * K( g3 y5 d+ l6 i' G% n2 }2 T
select * from news wherenamelikeconcat(‘%’,#{name }, ‘%’)复制代码采用预编译机制,避免了 SQL 语句拼接的问题,从根源上防止了 SQL 注入漏洞的产生。 3 V3 O5 ~; |! h1 f. P- D
in 之后的参数 SQL 注入修复建议在对新闻进行同条件多值查询的时候,可使用 Mybatis 自带循环指令解决 SQL 语句动态拼接的问题:select * from news whereidin
8 A- e1 u) Y# v! ~$ {; k "ids" item="item"open="("separator=","close=")">#{item} 复制代码order by SQL 注入修复建议在 Java 层面做映射预编译机制只能处理查询参数,其他地方还需要研发人员根据具体情况来解决。 0 ?* a% p: p+ |" e
如前面提到的排序情景:Select * from news where title =‘淘宝’ orderby#{time} asc,复制代码这里 time 不是查询参数,无法使用预编译机制,只能这样拼接:
" e5 Q8 N1 n% K9 w0 \( ? Select * from news where title =‘淘宝’ orderby ${time} asc复制代码针对这种情况研发人员可以在 java 层面做映射来进行解决如当存在发布时间 time 和点击量 click 两种排序选择时,我们可以限制用户只能输入 1 和 2。
3 g9 ^8 _2 S7 k 当用户输入 1 时,我们在代码层面将其映射为 time,当用户输入 2 时,将其映射为 click而当用户输入 1 和 2 之外的其他内容时,我们可以将其转换为默认排序选择 time(或者 click)。 ) m7 \! w) z$ S# ~- r! `1 S) m
# ^- M5 Z4 \2 D' |9 z/ X Z
+ a2 ^* _3 p, I0 j4 [' V9 _( U4 L, v
3 Q& k9 z( {# P |