Java框架安全

(一)Mybatis注入问题

Mybatis是目前比较常用的ORM的框架,一般与SpringMVC框架整合较多,但使用不当会有SQL注入的风险。

Mybatis里mapper中SQL语句的写法支持两种形式的占位符,一种是#{value}一种是${value}.

使用#进行占位时,如:

<selectid="selectUsername"resultType="com.example.bean.Admin">         

 select * from admin where username='#{username}'

</select>

内部实现是使用了JDBC预编译技术:

String sql = “select * from admin where username=?” ;

PreparedSatement ps = conn.prepareStatement(sql) ;

Ps.setString(“admin”, username) ;

但是使用$进行占位时,在内部实现中是字符串拼接:

<selectid="selectUsername"resultType="com.example.bean.Admin">          

select * from admin where username='${value}'

</select>

 

代码测试一下:

 

如果使用$占位符,是存在SQL注入风险的,一旦没有经过校验就会有风险。

因此,在审计中,一般要看mapper.xml或者一些实现的Mapper接口中的注解里是否有使用$占位符的情况,如果使用了则说明很大几率会有问题。

 

(二)Hibernet注入问题

 

Hibernet框架同样都支持SQL语句拼接的情况,看以下代码:

 

这里的input参数使用的拼接的方式进入了查询中,明显是有问题的,可以带入单引号引发注入漏洞。

安全的方式是使用占位符的方式,然后使用setXXX来填补占位符,内部实现是基于预编译的,这样就不会存在注入了。

(三)SpringMVC框架XSS问题

SpringMVC并没有针对XSS进行统一的解决,因此寻找代码安全问题和传统的审计思路一致。

比如:

 

当SpringMVC和其他第三方模板进行整合时,比如和Freemarker进行整合,模板是不会对绑定数据进行自动净化处理的,因此也会存在XSS问题。

 

(四)Freemarker模板注入问题

目前比较流行的Freemarker和Velocity都有模板注入漏洞,可以直接执行系统命令或者getshell。

SpringMVC与Freemarker整合,当用户可以控制模板文件内容,包含但不限于编辑自定义模板、用户输入拼接在模板串中等:

 

CreateHtmlFromString的代码如下,即编译给定的模板字符串和数据,生成HTML进行输出:

 

当username为恶意模板语法时,会产生服务器端攻击,包括但不限于命令执行、getshell等:

 

新建一个FreemarkerView,可以参考

org.springframework.web.servlet.view.freemarker.FreeMarkerView的实现,然后在

initApplicationContext方法中加入下面两行代码:

 

 

(五)spring jpa

@Autowired
private EntityManager emf ;

利用的EntityManager做原始的SQL语句拼接。

 

 

posted @ 2018-01-18 11:54  有梦就能实现  阅读(2215)  评论(0编辑  收藏  举报