网络安全必学SQL注入
1.1 .Sql注入攻击原理
SQL注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。要学会如何防御SQL注入,首先我们要学习它的原理。
针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。其成因可以归结为以下两个原因叠加造成的:
程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句。未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。
注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件:用户能够控制输入。
原本程序要执行的代码,拼接了用户输入的数据。
1.2 .Sql审计方法
手动找的话,可以直接找到sqlmapper.xml文件或者直接搜索 select、update、delete、insert “String sql=”等关键词,定位SQL xml配置文件。
如果 sql 语句中有出现 $ 进行参数拼接,则存在SQL注入风险。
当找到某个变量关键词有 SQL 注入风险时,可以再根据调用链找到该存在注入风险的业务逻辑代码,查看参数来源是否安全、是否有配置SQL危险参数过滤的过滤器,最终确认是否存在SQL注入。以下给出可能造成sql注入攻击的关键字,审计时可根据实际情况进项查找
常见SQL语句关键词
关键词 | 解释 |
---|---|
ResultSet | 数据库结果集的数据表,通常通过执行查询数据库的语句生成。 |
executeQuery | 执行查询 |
select | 数据库中的查询关键字 |
insert | 数据库中的插入关键字 |
update | 数据库中的修改关键字 |
delete | 数据库中的删除关键字 |
where | 数据库中的条件关键字 |
union | 数据库中的联合查询关键字 |
drop | 数据库中的删除数据库关键字 |
create | 数据库中的创建数据库关键字 |
count | 数据库中的返回匹配行数关键字 |
java.sql.Connection | 与特定数据库的连接类 |
Statement | 是 Java 执行数据库操作的重要接口 |
jdbcTemplate | 最基本的Spring JDBC模板 |
PreparedStatement | 预编译的 SQL 语句的对象 |
queryForInt | 数据库查询方法关键字 |
queryForObject | 数据库查询方法关键字 |
queryForMap | 数据库查询方法关键字 |
getConnection | 获取sql连接 |
outfile | 数据库中把表数据导出关键字 |
load_file | 数据库中导入数据的关键字 |
【一一帮助安全学习,所有资源一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部教程
1.3Sql注入漏洞危害
1 、 攻击者可以做到
- 业务运营的所有数据被攻击
- 对当前数据库用户拥有的所有表数据进行增、删、改、查等操作
- 若当前数据库用户拥有file_priv权限,攻击者可通过植入木马的方式进一步控制DB所在服务器
- 若当前数据库用户为高权限用户,攻击者甚至可以直接执行服务器命令从而通过该漏洞直接威胁整个内网系统
2、可能对业务造成的影响
① 用户信息被篡改
② 攻击者偷取代码和用户数据恶意获取
线上代码被非法篡改,并造成为恶意攻击者输送流量或其他利益的影响
1.4 Sql注入漏洞代码示例
Java 代码动态构建 SQL
Statement stmt = null;ResultSet rs = null;try{String userName = ctx.getAuthenticatedUserName(); //this is a constantString sqlString = "SELECT * FROM t_item WHERE owner='" + userName + "' AND itemName='" + request.getParameter("itemName") + "'";stmt = connection.createStatement();rs = stmt.executeQuery(sqlString);// ... result set handling}catch (SQLException se){// ... logging and error handling}
这里将查询字符串常量与用户输入进行拼接来动态构建SQL查询命令。仅当itemName不包含单引号时,这条查询语句的行为才会是正确的。如果一个攻击者以用户名wiley发起一个请求,并使用以下条目名称参数进行查询:
name' OR 'a' = 'a
那么这个查询将变成:
SELECT * FROM t_item WHERE owner = 'wiley' AND itemname = 'name' OR 'a'='a';
此处,额外的OR ‘a’='a’条件导致整个WHERE子句的值总为真。那么,这个查询便等价于如下非常简单的查询:
SELECT * FROM t_item
这个简化的查询使得攻击者能够绕过原有的条件限制:这个查询会返回items表中所有储存的条目,而不管它们的所有者是谁,而原本应该只返回属于当前已认证用户的条目。
在存储过程中动态构建SQL
Java代码:
CallableStatement = nullResultSet results = null;try{String userName = ctx.getAuthenticatedUserName(); //this is a constantString itemName = request.getParameter("itemName");cs = connection.prepareCall("{call sp_queryItem(?,?)}");cs.setString(1, userName);cs.setString(2, itemName);results = cs.executeQuery();// ... result set handling}catch (SQLException se){// ... logging and error handling}SQL Server存储过程:CREATE PROCEDURE sp_queryItem@userName varchar(50),@itemName varchar(50)ASBEGINDECLARE @sql nvarchar(500);SET @sql = 'SELECT * FROM t_itemWHERE owner = ''' + @userName + '''AND itemName = ''' + @itemName + '''';EXEC(@sql);ENDGO
在存储过程中,通过拼接参数值来构建查询字符串,和在应用程序代码中拼接参数一样,同样是有SQL注入风险的。
Hibernate 动态构建 SQL/HQL
原生SQL查询:
String userName = ctx.getAuthenticatedUserName(); //this is a constantString itemName = request.getParameter("itemName");Query sqlQuery = session.createSQLQuery("select * from t_item where owner = '" + userName + "' and itemName = '" + itemName + "'");List<Item> rs = (List<Item>) sqlQuery.list();
HQL查询:
String userName = ctx.getAuthenticatedUserName(); //this is a constantString itemName = request.getParameter("itemName");Query hqlQuery = session.createQuery("from Item as item where item.owner = '" + userName + "' and item.itemName = '" + itemName + "'");List<Item> hrs = (List<Item>) hqlQuery.list();
即使是使用Hibernate,如果在动态构建SQL/HQL查询时包含了不可信输入,同样也会面临SQL/HQL注入的问题。
HQL代码中,session.createQuery使用HQL语句将查询到的数据存到到list集合中,需要时在拿出来使用。而参数中itemName是通过request.getParameter直接获取。攻击者若在此处写入恶意语句,程序将恶意语句查询出来的数据存放在list集合中,再通过某处调用成功将数据显示在前台。
Mybatis注入分析
Mybatis框架下易产生SQL注入漏洞的情况主要分为以下三种:
1)模糊查询like
例如对人员姓名检索进行模糊查询,如果考虑安全编码规范问题,其对应的SQL语句如下:
Select * from user where name like '%#{name}%'
但由于这样写程序会报错,研发人员将SQL查询语句修改如下:
Select * from user where name like '%${name}%'
在这种情况下我们发现程序不再报错,但是此时产生了SQL语句拼接问题,如果java代码层面没有对用户输入的内容做处理势必会产生SQL注入漏洞。
2)in之后的参数
例如对人员姓名进行同条件多值检索的时候,如当用户输入001,002,003…时,如果考虑安全编码规范问题,其对应的SQL语句如下:
Select * from name where id in (#{id})
但由于这样写程序会报错,研发人员将SQL查询语句修改如下:
Select * from name where id in (${id})
修改SQL语句之后,程序停止报错,但是却引入了SQL语句拼接的问题,如果没有对用户输入的内容做过滤,势必会产生SQL注入漏洞。
3)order by之后(重点和区分点)
当根据姓名、id序号等信息用户进行排序的时候,如果考虑安全编码规范问题,其对应的SQL语句如下:
Select * from user where name = 'qihoo' order by #{id} desc
但由于发布时间id不是用户输入的参数,无法使用预编译。研发人员将SQL查询语句修改如下:
Select * from user where name = 'qihoo' order by ${id} desc
修改之后,程序未通过预编译,但是产生了SQL语句拼接问题,极有可能引发SQL注入漏洞。
1.5 .实战案例-OFCMS SQL注入漏洞分析
本文中使用ofcms进行SQL注入漏洞讲解,此CMS算是对新手学习代码审计比较友好的CMS。
上述为安装成功页面,如何安装CMS本章不在赘述。
后台页面:http://localhost:8080/ofcms-admin/admin/index.html
漏洞点:
ofcms-admin/src/main/java/com/ofsoft/cms/admin/controller/system/SystemGeneratrController.javacreate方法| /*** 创建表*/public void create() {try {String sql = getPara("sql");Db.update(sql);rendSuccessJson();} catch (Exception e) {e.printStackTrace();rendFailedJson(ErrorCode.get("9999"), e.getMessage());}}
上述代码中使用getpara获取sql的参数值,并update,跟进一下getpara和update方法。
跳转至 jfinal-3.2.jar/com/jfinal/core/controller.class
public String getPara(String name) {return this.request.getParameter(name);}
上述代码无特殊用意,就是获取参数值,继续跟进 Db.update 方法。
跳转至 jfinal-3.2.jar/com/jfinal/plugin/activerecord/Db.class
public static int update(String sql) {return MAIN.update(sql);}
发现调用 MAIN.update , 继续跟进。
跳转至 jfinal-3.2.jar/com/jfinal/plugin/activerecord/DbPro.class
public int update(String sql) {return this.update(sql, DbKit.NULL_PARA_ARRAY);}
继续跟进到最后,发现华点。
public int update(String sql, Object... paras) {Connection conn = null;int var4;try {conn = this.config.getConnection();//连接var4 = this.update(this.config, conn, sql, paras);//调用update更新} catch (Exception var8) {throw new ActiveRecordException(var8);} finally {this.config.close(conn);}return var4;}
重点:Object…
Object是所有类的基类,而 Object… 是不确定方法参数情况下的一种多态表现形式(可以传递多个参数)。
再继续跟进 update ,同文件代码
int update(Config config, Connection conn, String sql, Object... paras) throws SQLException {PreparedStatement pst = conn.prepareStatement(sql);config.dialect.fillStatement(pst, paras);int result = pst.executeUpdate();DbKit.close(pst);return result;}
上述代码执行SQL语句,并返回结果。
至此,整个功能流程结束,在我们跟进的过程中,代码中无任何过滤语句,获取参数值,调用update方法更新,更新成功后返回结果。
漏洞验证
漏洞点打上断点,网页中输入poc进行验证
update of_cms_topic set topic_url=updatexml(1,concat(0x7e,(user())),0) where topic_id = 1
根据如上截图可看出我们传入的SQL语句是被完整的接收,并未做任何过滤直接带入数据库执行,所以此处直接写入漏洞代码爆出当前数据库账户为 root。
上述为sqlmap工具跑出来的注入点。
1.6 漏洞修复方法
添加全局过滤器,过滤特殊字符
SQLFilter.java中:
PreparedStatement 参数化
如果使用参数化查询,则在SQL语句中使用占位符表示需在运行时确定的参数值。参数化查询使得SQL查询的语义逻辑被预先定义,而实际的查询参数值则等到程序运行时再确定。参数化查询使得数据库能够区分SQL语句中语义逻辑和数据参数,以确保用户输入无法改变预期的SQL查询语义逻辑。
在Java中,可以使用java.sql.PreparedStatement来对数据库发起参数化查询。在这个正确示例中,如果一个攻击者将itemName输入为name’ OR ‘a’ = ‘a,这个参数化查询将免受攻击,而是会查找一个itemName匹配name’ OR ‘a’ = 'a这个字符串的条目。
PreparedStatement stmt = nullResultSet rs = nulltry{String userName = ctx.getAuthenticatedUserName(); //this is a constantString itemName = request.getParameter("itemName");// ...Ensure that the length of userName and itemName is legitimate// ...String sqlString = "SELECT * FROM t_item WHERE owner=? AND itemName=?";stmt = connection.prepareStatement(sqlString);stmt.setString(1, userName);stmt.setString(2, itemName);rs = stmt.executeQuery();// ... result set handling}catch (SQLException se){// ... logging and error handling}
存储过程参数化
这个存储过程使用参数化查询,而未包含不安全的动态SQL构建。数据库编译此存储过程时,会生成一个SELECT查询的执行计划,只允许原始的SQL语义被执行。任何参数值,即使是被注入的SQL语句也不会被执行,因为它们不是执行计划的一部分。
CallableStatement = nullResultSet results = null;try{String userName = ctx.getAuthenticatedUserName(); //this is a constantString itemName = request.getParameter("itemName");// ... Ensure that the length of userName and itemName is legitimate// ...cs = connection.prepareCall("{call sp_queryItem(?,?)}");cs.setString(1, userName);cs.setString(2, itemName);results = cs.executeQuery();// ... result set handling}catch (SQLException se){// ... logging and error handling}
Hibernate 参数化查询
Hibernate支持SQL/HQL参数化查询。为了防止SQL注入以及改善性能,以上这些示例使用了参数化绑定 的方式来设置查询参数。
String userName = ctx.getAuthenticatedUserName(); //this is a constantString itemName = request.getParameter("itemName");Query hqlQuery = session.createQuery("from Item as item where item.owner = ? and item.itemName = ?");hqlQuery.setString(1, userName);hqlQuery.setString(2, itemName);List<Item> rs = (List<Item>) hqlQuery.list();
HQL基于名称的参数化查询
String userName = ctx.getAuthenticatedUserName(); //this is a constantString itemName = request.getParameter("itemName");Query hqlQuery = session.createQuery("from Item as item where item.owner = :owner and item.itemName = :itemName");hqlQuery.setString("owner", userName);hqlQuery.setString("itemName", itemName);List<Item> rs = (List<Item>) hqlQuery.list();
原生参数化查询
String userName = ctx.getAuthenticatedUserName(); //this is a constantString itemName = request.getParameter("itemName");Query sqlQuery = session.createSQLQuery("select * from t_item where owner = ? and itemName = ?");sqlQuery.setString(0, owner);sqlQuery.setString(1, itemName);List<Item> rs = (List<Item>) sqlQuery.list();
MyBatis框架的修复方案
尽量使用#描述参数,如果一定要使用$,则需要自己过滤用户输入
模糊查询like SQL注入修复建议
按照新闻标题对新闻进行模糊查询,可将SQL查询语句设计如下:
select * from news where name like concat(‘%’,#{name }, ‘%’)
采用预编译机制,避免了SQL语句拼接的问题,从根源上防止了SQL注入漏洞的产生。
in之后的参数SQL注入修复建议
在对新闻进行同条件多值查询的时候,可使用Mybatis自带循环指令解决SQL语句动态拼接的问题:
select * from news where id in<foreach collection="ids" item="item" open="("separator="," close=")">#{item} </foreach>
order by SQL注入修复建议
【一一帮助安全学习一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部教程
在Java层面做映射预编译机制只能处理查询参数,其他地方还需要研发人员根据具体情况来解决。如前面提到的排序情景:
Select * from news where title =‘淘宝’ order by #{time} asc,
这里time不是查询参数,无法使用预编译机制,只能这样拼接:
Select * from news where title =‘淘宝’ order by ${time} asc
针对这种情况研发人员可以在java层面做映射来进行解决。如当存在发布时间time和点击量click两种排序选择时,我们可以限制用户只能输入1和2。
当用户输入1时,我们在代码层面将其映射为time,当用户输入2时,将其映射为click。而当用户输入1和2之外的其他内容时,我们可以将其转换为默认排序选择time(或者click)。
网络安全必学SQL注入相关推荐
- 从0开始学SQL注入(超详细)
前言: 终于是吧cracer的渗透教程看完了, 也终于是有点时间来整理这些凌乱的笔记了, 关于SQL注入后面会陆续把写的笔记整理成文章,敬请期待! 有什么疑问可以评论也可以直接私信 杂谈: 送给萌新的 ...
- 网络安全必学知识点之XSS漏洞
xss漏洞小结 一.初识XSS 1.什么是XSS XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆 ...
- 【网络安全入门】SQL注入是什么?SQL注入危害有哪些?
SQL注入是当今最危险.最普遍的基于Web的攻击方式之一,那么你知道SQL注入危害有哪些吗?SQL注入的位置包括什么?具体内容请看下文: SQL注入是什么? SQL注入是比较常见的网络攻击方式之一,主 ...
- 网络安全p10内容sql注入教程
首先我们来看一下预备知识: 任务实施: 首先打开靶机: 我们来注册一个账号: 注册成功. 查找到一个可以输入的地方,可能存在sql注入. 报错说明存在sql注入. 得出有11个字段. 两种方法,首先第 ...
- 84.网络安全渗透测试—[SQL注入篇23]—[高级注入技巧-dnslog无回显注入]
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一.高级注入技巧 dnslog无回显注入 1.原理 2.dnslog平台 3.MySQL dnslog无回显注入 ...
- 77.网络安全渗透测试—[SQL注入篇16]—[SQLSERVER+ASP-延时注入]
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一.SQLSERVER+ASP 延时注入 1.简介 2.判断注入 3.猜解长度.个数.字符 4.以上总结:`12 ...
- 菜鸟学SQL注入 --- 一个简单的教学案例
***的SQL***演示: 指的是***或恶意用户在应用程序不知道的情况下通过应用程序来对SQL 数据库执行恶意的代码,一旦***成功,可以做任何事情,如查看数据表中的信息,删除数据表的数据,到获得网 ...
- 74.网络安全渗透测试—[SQL注入篇13]—[SQLSERVER+ASP-执行系统命令]
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一.SQLSERVER+ASP 执行系统命令 1.前言 2.SQLSERVER+ASP 执行系统命令示例 一.S ...
- Web网络安全漏洞分析,SQL注入原理详解
本文主要为大家介绍了Web网络安全漏洞分析SQL注入的原理详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪 一.SQL注入的基础 1.1 介绍SQL注入 SQL注入就是 ...
最新文章
- 协方差矩阵的实例与意义
- Flink shell报错 For input string: 0x100
- 解决ffmpeg拉流转发频繁丢包问题max delay reached. need to consume packet
- python中span函数,如何用python中BeautifulSoup提取无类名的span内文本
- 洛谷——P1017 进制转换
- SQL Server删除语句
- Open3d之文件IO
- linux静态与动态库创建及使用实例
- Python中List,tuple,Dictionary之间的区别
- nginx autoindex美化
- 软件平台与中间技术复习
- 计算机禁止安装游戏软件,如何禁止电脑安装软件_怎么禁止在电脑上安装程序 禁止电脑安装程序方法...
- 基于CList链表类的故障树分析算法的实现
- oracle odi 变量,ODI----Variables
- python ccf题解 201809-1 卖菜
- TYPEC 转HDMI VGA+PD+ USB3.0 HUB+TF/CF/SD+RJ45等多功能扩展坞方案设计资料|TYPE-C转HDMI转VGA带PD USB3.0多功能拓展器方案介绍
- 年终礼品交换潮iPhone、iPad最抢手
- 解决Bean with name ‘XX‘ has been injected into other beans 问题
- 基于云服务创建离线数据统计分析服务(一)
- 查看oracle是否open,Oracle查看已被使用的open_cursorssession_cached_cursors
热门文章
- sys和system用户的区别
- 主持人如何控制知识竞赛抢答赛的赛场
- 怎样向喜欢的女生表白?教你向女生表白的方式!
- Ubuntu中 Unable to acquire the dpkg frontend lock (/var/lib/dpkg/lock-frontend), are you root?问题的解决
- OpenWrt用什么无线网卡能正常使用wifi
- 人不是被事物本身困扰是什么理论_【心理健康教育讲座】压力管理,合理调控情绪...
- 原神服务端搭建架设教程win系统(附客户端+服务端+环境配置)
- 怎么查linux运行慢的原因,Linux_sql 查询慢的原因分析,查询速度慢的原因很多,常见 - phpStudy...
- java 获取下拉框的值_Java获取下拉菜单选中的选项
- dos2unix install on mac_Mac视频下载利器Downie +Permute可以将下载视频合并转化为MP4