系統城裝機大師 - 唯一官網:www.jasafloorhardener.com!

    當前位置:首頁 > 網絡知識 > 入侵防御 > 詳細頁面

    Java安全編碼之SQL注入

    時間:2020-08-31來源:www.jasafloorhardener.com作者:電腦系統城

    隨著互聯網的發展,Java語言在金融服務業、電子商務、大數據技術等方面的應用極其廣泛。Java安全編碼規范早已成為SDL中不可或缺的一部分。本文以Java項目廣泛采用的兩個框架Hibernate和MyBatis 為例來介紹,如何在編碼過程中避免SQL注入的幾種編碼方法,包括對預編譯的深度解析,以及對預編譯理解的幾個“誤區”進行了解釋。

    備注,本文是Java語言安全編碼會是系列文章的第一篇。

    1. 框架介紹

    目前Hibernate和MyBatis為java項目廣泛采用的兩個框架。由于Hibernate使用方便,以前的項目采用Hibernate非常的廣泛,但是后面由于Hibernate的侵入式特性,后面慢慢被MyBatis所取代 。下面我們會以SpringBoot為基礎,分別搭建Hibernate和MyBatis的漏洞環境。

    2. 配置說明

    SpringBoot采用2.3.1.RELEASE,MySQL版本為5.7.20。數據庫有一張表user_tbl。數據如下:

    1596704219.png!small

    3. Hibernate

    Hibernate 是一個開放源代碼的對象關系映射框架,它對 JDBC 進行了非常輕量級的對象封裝,是一個全自動的 ORM 框架。Hibernate 自動生成 SQL 語句,自動執行。

    (1) 環境搭建

    結構如下,ctl為控制層,service為服務層,dao為持久層。為了方便沒有按照標準的接口實現,我們只關注漏洞的部分。

    1596704559.png!small

    Beans下User.java對用為user_tbl表結構。

    1596704752.png!small

    我們使用/inject 接口,p為接受外部的參數,來查詢User的列表,使用fastjson來格化式輸出。

    1596704781.png!small

    我們回到dao層。

    1)SQL注入

    SQL注入我們使用字符串拼接方式:

    1596704819.png!small

    訪問http://localhost:8080/inject?p=m 直接用SQLMap跑一下:

    1596704885.png!small

    很容易就注入出數據來了。

    2)HQL注入

    HQL(Hibernate Query Language)是Hibernate專門用于查詢數據的語句,有別于SQL,HQL 更接近于面向對象的思維方式。表名就是對應我們上面的entity配置的。HQL注入利用比SQL注入利用難度大,比如一般程序員不會對系統表進行映射,那么通過系統表獲取屬性的幾乎不可能的,同時由于HQL對于復雜的語句支持比較差,對攻擊者來說需要花費更多時間去構造可用的payload,更多詳細的語法可以參考:

    https://docs.huihoo.com/Hibernate/reference-v3_zh-cn/queryhql.html

    1596704962.png!small

    3)預編譯

    我們使用setParameter的方式,也就是我們熟知的預編譯的方式。

    
     
    1. Query query = (Query) this.entityManager.createQuery("from User u where u.userName like :userName ",User.class);  
    2. query.setParameter("userName","%"+username+"%"); 

    訪問http://localhost:8080/inject?p=m后得到正常結果。

    1596705006.png!small

    執行注入語句:

    http://localhost:8080/inject?p=m’ or ‘1’ like ‘1 返回為空。

    1596705041.png!small

    我們來看看setParameter的方式到底對我們的SQL語句做了什么。我們將斷點打至Loader.class的bindPreparedStatement。發現通過預編譯后,SQL變為了:

    
     
    1. select user0_.id as id1_0_, user0_.password as password2_0_, user0_.username as username3_0_ from user_tbl user0_ where user0_.username like '%'' or ''1'' like ''1%', 

    然后交給hikari處理。發現將我們的單引號變成了兩個單引號,也就是說把傳入的數據變為字符串。

    1596705072.png!small

    將斷點斷至mysql-connector-java(也就是我們熟知的JDBC驅動包)的ClientPreparedQueryBindings.setString.這里就是參數設置的地方。

    1596705107.png!small

    看一下算法:

    
     
    1. String parameterAsString = x; 
    2.  
    3.             boolean needsQuoted = true; 
    4.  
    5.             if (this.isLoadDataQuery || this.isEscapeNeededForString(x, stringLength)) { 
    6.  
    7.                 needsQuoted = false; 
    8.  
    9.                 StringBuilder buf = new StringBuilder((int)((double)x.length() * 1.1D)); 
    10.  
    11.                 buf.append('\''); 
    12.  
    13.                 for(int i = 0; i < stringLength; ++i) { 
    14.  
    15.                     char c = x.charAt(i); 
    16.  
    17.                     switch(c) { 
    18.  
    19.                     case '\u0000': 
    20.  
    21.                         buf.append('\\'); 
    22.  
    23.                         buf.append('0'); 
    24.  
    25.                         break; 
    26.  
    27.                     case '\n': 
    28.  
    29.                         buf.append('\\'); 
    30.  
    31.                         buf.append('n'); 
    32.  
    33.                         break; 
    34.  
    35.                     case '\r': 
    36.  
    37.                         buf.append('\\'); 
    38.  
    39.                         buf.append('r'); 
    40.  
    41.                         break; 
    42.  
    43.                     case '\u001a': 
    44.  
    45.                         buf.append('\\'); 
    46.  
    47.                         buf.append('Z'); 
    48.  
    49.                         break; 
    50.  
    51.                     case '"': 
    52.  
    53.                         if (this.session.getServerSession().useAnsiQuotedIdentifiers()) { 
    54.  
    55.                             buf.append('\\'); 
    56.  
    57.                         } 
    58.  
    59.                         buf.append('"'); 
    60.  
    61.                         break; 
    62.  
    63.                     case '\'': 
    64.  
    65.                         buf.append('\''); 
    66.  
    67.                         buf.append('\''); 
    68.  
    69.                         break; 
    70.  
    71.                     case '\\': 
    72.  
    73.                         buf.append('\\'); 
    74.  
    75.                         buf.append('\\'); 
    76.  
    77.                         break; 
    78.  
    79.                     case '¥': 
    80.  
    81.                     case '?': 
    82.  
    83.                         if (this.charsetEncoder != null) { 
    84.  
    85.                             CharBuffer cbuf = CharBuffer.allocate(1); 
    86.  
    87.                             ByteBuffer bbuf = ByteBuffer.allocate(1); 
    88.  
    89.                             cbuf.put(c); 
    90.  
    91.                             cbuf.position(0); 
    92.  
    93.                             this.charsetEncoder.encode(cbuf, bbuf, true); 
    94.  
    95.                             if (bbuf.get(0) == 92) { 
    96.  
    97.                                 buf.append('\\'); 
    98.  
    99.                             } 
    100.  
    101.                         } 
    102.  
    103.                         buf.append(c); 
    104.  
    105.                         break; 
    106.  
    107.                     default: 
    108.  
    109.                         buf.append(c); 
    110.  
    111.                     } 
    112.  
    113.                 } 
    114.  
    115.                 buf.append('\''); 

    可以看到mysql-connector-java主要是將將我們’轉為了’’,對于轉義的\會變為\\,比如對于這種SQL:

    
     
    1. SELECT user0_.id AS id1_0_,user0_. PASSWORD AS password2_0_,user0_.username AS username3_0_ 
    2.  
    3. FROM user_tbl user0_ WHERE user0_.username LIKE '%\' or username = 0x6d #%' 

    也會變為:

    
     
    1. SELECT user0_.id AS id1_0_,user0_. PASSWORD AS password2_0_,user0_.username AS username3_0_ 
    2.  
    3. FROM user_tbl user0_ WHERE user0_.username LIKE '%\\'' or username = 0x6d #%' 

    有人會說那我們使用select * from user_tbl where id = 1 and user() = 0x726f6f74406c6f63616c686f7374 這種類似的語句,全程沒有jdbc里面的危險字符是不是就可以繞過了?mysql-connector-java里面有個非常巧妙的點是,他會根據你傳入的類型判斷。比如傳入的為int類型。就會走setInt。傳入的為string就會走setString。所以這段語句還是會被select * from user_tbl where id = 1 ‘and user() = 0x726f6f74406c6f63616c686f7374’

    我們看到SQL預編譯的算法也是非常簡單。

    4. MyBatis

    MyBatis是一流的持久性框架,支持自定義SQL,存儲過程和高級映射。MyBatis可以使用簡單的XML或注釋進行配置?,F在目前國內大部分公司都是采用的MyBatis框架。

    (1) 環境搭建:

    下面為我們項目目錄結構:

    1596705239.png!small

    (2) 使用#{}的方式

    #{}也就是我們熟知的預編譯方式。

    1596705338.png!small

    訪問http://localhost:8080/getList?p=m 后正常的返回:

    1596705362.png!small

    使用http://localhost:8080/getList?p=m' or ‘1’ like ‘1

    結果返回為空。不存在注入。

    我們將斷點斷在PreparedStatementLogger的invoke方法上面,其實這里就是一個代理方法。這里我們看到完整的SQL語句。

    1596705390.png!small

    同樣我們將斷點斷在:ClientPreparedQueryBindings.setString同樣會進去

    1596705454.png!small

    Hibernate和MyBatis的預編譯機制是一樣的。

    (3) 使用${}的方式

    ${}的方式也就是MyBatis的字符串連接方式。

    1596705500.png!small

    使用SQLMap很容易就能跑出數據:

    1596705527.png!small

    (4) 關于OrderBy

    之前有聽人說Order By后面的語句是不會參與預編譯?這句話是錯誤的。Order By也是會參與預編譯的。從我們上面的jdbc的setString算法可以看到,是因為setString會在參數的前后加上’’,變成字符串。導致Order By失去了原本的意義。只能說是預編譯方式的Order By不適用而已。所以對于這種Order By的防御的話建議是直接寫死在代碼里面。對于Order By方式的注入我們可以通過返回數據的順序的不同來獲取數據。

    1596705578.png!small

    (5) 關于useServerPrepStmts

    其實在只有JDBC在開啟了useServerPrepStmts=true的情況下才算是真正的預編譯。但是如果是字符串的拼接方式,預編譯是沒有效果的。從MySQL的查詢日志就可以開看到??梢钥吹絇repare的語句。一樣是存在SQL注入的。

    1596705612.png!small

    我們使用占位符的方式:

    1596705641.png!small

    上面的語句就不存在SQL注入了。

    我想這就是JDBC默認為啥不開啟useServerPrepStmts=true的原因吧。

    5. 總結

    在能使用預編譯的情況下我們應該要使用預編譯。在不能使用預編譯的情況下,可以對特定類型做規范,比如傳數字的需要規范為Integer,Long等。這樣會在進入數據庫前會提前拋出異常?;蛘呤褂肧pring的AOP機制,添加一個前置的fitler,對有害的字符清洗或者過濾。但是這樣有點籠統,會對全局參數進行清洗。

    還有一種比較好的方式是,通過注解的方式,這樣會比較方便,可復用性也很好。對不能進行預編譯的參數加上過濾有害字符的注解。我們就不在這里做代碼的實現,網上有很多可以參考的教程??梢允褂肁pache Jakarta Commons提供的很多方便的方法來過濾有害字符。

    分享到:

    相關信息

    • DevOps專業人員如何成為網絡安全擁護者

      安全是DevOps中一個被誤解的元素,有些人認為,它不在DevOps的職權范圍之內,而另一些人則認為,它足夠重要(并且經常被忽視),因此建議您改為使用DevSecOps。不過,無論您認同哪一方的觀點,一個很明顯的事實是,網絡安全都會影響到...

      2020-04-19

    • 第十二屆信息安全高級云論壇暨美國2020RSA熱點研討會圓滿收官

      2020年4月17日,第十二屆信息安全高級云論壇暨美國RSA熱點研討”在線上成功舉辦。本次研討會緊扣美國2020RSA主題“Human Element”,吸引了四千余位網絡安全從業者、安全研究人員、專家等在線參與。...

      2020-04-19

    系統教程欄目

    欄目熱門教程

    人氣教程排行

    站長推薦

    熱門系統下載

    久久大香久久久尹人尹人