从orderby引发的SQL注入问题的思考
背景:
某一天准备上线,合完master之后准备发布了,忽然公司的代码安全监测提示了可能在代码中存在sql注入的风险,遂即检查,发现sql注入问题
既然碰到了这个问题,那就了简单了解下sql注入
基础知识:
SQL注入基本原理:
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件,第一个是用户能够控制输入;第二个是原本程序要执行的代码,拼接了用户输入的数据。
SQL注入类型
按照注入点类型来分类
(1).数字型注入点(当输入的参数为整形时,如果存在注入漏洞,可以认为是数字型注入。)
sql原型: select * from aaa where id = 1 ,有如下种可能:
1). 加单引号,对应的sql: select * from aaa where id=3’ 这时sql语句出错,程序无法正常从数据库中查询出数据,就会抛出异常;
2).加or 1=1,对应的sql: select*from aaa where id=3 or 1=1 这个时候能够查询到所有的结果
3).加上 and 1=1 对应的sql:select * from aaa where id=3 and 1=1 不能查询到结果
(2).字符型注入点(当输入的参数为字符串时,称为字符型。字符型和数字型最大的一个区别在于,数字型不需要单引号来闭合,而字符串一般需要通过单引号来闭合的。)
sql原型: select * from aaa where name='admin' ,有如下种可能:
1).加单引号:
select * from aaa where name ='admin' and 1=1 -- '
这种注入方式并不会影响查询结果
2).加union:
select name from aaa where name='1' union select database()#'
这种的结果就是把数据库信息泄露出去。
3).加or
select name from aaa where name='11' or '1234 '='1234'
这种就是导致查询的结果并不是期望的结果,导致数据泄露
(3).搜索型注入点(说明一下,搜索型注入也无他,前加%' 后加 and '%'=' 对于MYSQL数据库,后面可以吧 and '%'='换成--)
这是一类特殊的注入类型。这类注入主要是指在进行数据搜索时没过滤搜索参数,一般在链接地址中有“keyword=关键字”,有的不显示在的链接地址里面,而是直接通过搜索框表单提交。此类注入点提交的 SQL 语句,其原形大致为:select * from 表名 where 字段 like '%关键字%'
。
按照数据提交的方式来分类
(1)GET 注入
提交数据的方式是 GET , 注入点的位置在 GET 参数部分。比如有这样的一个链接http://xxx.com/news.php?id=1
, id 是注入点。
(2)POST 注入
使用 POST 方式提交数据,注入点位置在 POST 数据部分,常发生在表单中。
(3)Cookie 注入
HTTP 请求的时候会带上客户端的 Cookie, 注入点存在 Cookie 当中的某个字段中。
(4)HTTP 头部注入
注入点在 HTTP 请求头部的某个字段中。比如存在 User-Agent 字段中。严格讲的话,Cookie 其实应该也是算头部注入的一种形式。因为在 HTTP 请求的时候,Cookie 是头部的一个字段。
按照执行效果来分类
(1)基于布尔的盲注,即可以根据返回页面判断条件真假的注入。
(2)基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。
(3)基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。
(4)联合查询注入,可以使用union的情况下的注入。
(5)堆查询注入,可以同时执行多条语句的执行时的注入。
基本原理了解了一些之后,再来一个案例吧
案例:
持久层框架:MyBatis
<dependency> <groupId>org.mybatis</groupId> <artifactId>mybatis</artifactId> <version>3.2.1</version> </dependency>
sql内容:
<if test="query.orderBy != null"> ORDER BY ${query.orderBy} </if>
背景:orderBy使用不规范也会引发sql注入吗?
例如:
select * from aaa order by id and(updatexml(1,concat(0x7e,(select system_user())),0));
这里介绍下:UPDATEXML (XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
第二个参数:XPath_string (Xpath格式的字符串) (XPATH格式:http://www.cnblogs.com/Loofah/archive/2012/05/10/2494036.html)
第三个参数:new_value,String格式,替换查找到的符合条件的数据
作用:改变文档中符合条件的节点的值
执行上面的sql,通过报错内容获取当前连接数据库的用户名
[SQL]select * from aaa order by id and(updatexml(1,concat(0x7e,(select system_user())),0)); [Err] 1105 - XPATH syntax error: '~root@localhost'
在mybatis中如何避免?
在mybatis中,#{} 相当于 jdbc中的preparedstatement,就是说传递过来的参数会自动加上单引号,而${} 是直接输出变量的值。一般来说,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。比如这样:
执行SQL:Select * from aaa where name = #{name} 参数:aaa 解析后执行的SQL:Select * from aaa where name = ?
也就是说#{}更安全一些。但是order by 明显是不能使用这种方式的。order by 之后如果使用 #{} 使用时则变成了 order by '...' 那么sql就直接报错了
避免该种类型的sql注入的有效措施就是在程序中判断排序字段 以保证xml中只可能出现某些情况或者在xml中固定排序字段
- 模糊查询 like
正常程序: select * from aaa where name like '%${likeColumn}%' 可能会存在sql注入问题
修改后:
select * from aaa where name like concat('%',#{likeColumn},'%')
修改点:从 ${} 改为 #{},从sql拼接到 concat方式
- in之后的参数
正常程序: Select * from aaa where id in (${id})
修改后:
select * from aaa where id in <foreach collection="ids" item="item" open="("separator="," close=")">#{item} </foreach>
ok,先简单对sql注入有个了解。
https://blog.csdn.net/m0_37438418/article/details/80260813 一道综合渗透题引发的updatexml()注入思考
https://www.cnblogs.com/moxiaotao/p/9330711.html Java框架之MybatisSQL注入漏洞
https://www.cnblogs.com/xuthus/p/9450805.html SQL注入 (1) SQL注入类型介绍
https://blog.csdn.net/qq_30464257/article/details/84495884 如何判断是字符型注入还是整形注入
http://www.hackdig.com/?08/hack-5209.htm