SpringBoot 整合mybatis SQL注入漏洞实践

SpringBoot 整合mybatis 请看

https://www.cnblogs.com/fczlm/p/14272917.html

这里主要记录mybatis的sql注入漏洞的实践测试。

首先在该项目下再创建一个数据库操作接口

@Mapper
public interface FindUserByIdMapper {
    public List<User> findUser(int id);
}

  

resource创建mybatis/FindUserByIdMapper.xml,这里注意看到的是使用了${userName}来拼接sql语句,这将造成sql注入的问题,正确的做法是#{userName}.既然知道${id}这种做法是不对的,那为什么mybatis为啥不干掉它?

在这里找到答案,有兴趣的自己去看看https://blog.csdn.net/weixin_42765975/article/details/103209330

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.example.mybaits.mapper.FindUserMapper">
<select id="findUser" resultType="User">
SELECT * FROM tbuser where userName='${username}'
</select>
</mapper>

然后是services相关类

package com.example.mybaits.service;

import com.example.mybaits.entity.User;

import java.util.List;

public interface FindUserService {
    public List<User> findUser(String usrname);
}

  

  

package com.example.mybaits.service.impl;

import com.example.mybaits.entity.User;
import com.example.mybaits.mapper.FindUserMapper;
import com.example.mybaits.service.FindUserService;
import org.springframework.stereotype.Service;

import javax.annotation.Resource;
import java.util.List;

@Service
public class FindUserServiceImpl implements FindUserService {
    @Resource
    private FindUserMapper findUserMapper;
    @Override
    public List<User> findUser(String username) {
        return findUserMapper.findUser(username);
    }
}

  controller类:

@RestController
public class UserController {
@Autowired
private UserService userService;

@Autowired
private FindUserService findUserService;
@RequestMapping("/test")
public List<User> allUser(){
return userService.allUser();
}

@RequestMapping("/test2")
public List<User> findUder(@RequestParam String username){
return findUserService.findUser(username);
}
}

  

所以在代码审计时,先看看mybatis里面的xml的sql语句哪些用到了${},之后追踪到service,controller有没有对参数做过滤,参数值是否可控,来验证sql注入是否存在。

另外尝试了一下类似这样的语句SELECT * FROM tbuser where id=${id},但是测试的时候接口可以正常返回,但发现无法注入,应该是不支持整数类型注入,那么代码审计时也可以主要关注字符串型

项目代码:

https://github.com/testwc/SpringBootMyBatisSQLinjectionTest

 

 
posted @ 2021-01-13 17:49  妇愁者纞萌  阅读(815)  评论(0编辑  收藏  举报