java审计之sql注入

java sql注入漏洞审计

执行对象

执行对象是sql的执行者。

目前常用的执行对象接口有三种： Statement、PreparedStatement和CallableStatement。

Statement

Statement主要用于执行静态sql语句，即内容不变的sql语句。它每一次执行都需要对传入的sql语句进行编译，效率较低。

例如:

String name = "tom";
        String sqlString = "select * from student_table where student_name = '" + name + "'";
        System.out.println(sqlString);
        Connection conn = Conn.open();
        try
        {
            ResultSet rs = null;
            Statement stmt = conn.createStatement();
            rs = stmt.executeQuery(sqlString);
            while (rs.next()){
                System.out.println("student_id：" + rs.getInt("student_id") + "\t"
                        + "student_name：" + rs.getString("student_name") + "\t"
                        + "student_age：" + rs.getString("student_age") + "\t"
                        + "student_tele：" + rs.getString("student_tele") + "\t");
            }
        }catch (SQLException e) {
            e.printStackTrace();
        } finally {
            Conn.close(conn);
        }
    }

假如说name为可控的话，当我传入' or 1=1 #则sql语句就会变为

select * from student_table where student_name ='' or 1=1 #,可以看到程序输出表中所有数据。

PreparedStatement

PreparedStatement是预编译参数化查询执行SQL语句的方式。

String sql = "select * from student_table where student_name = ?";
      Connection conn = Conn.open();
      try {
          ResultSet rs = null;
          PreparedStatement pstmt = (PreparedStatement) conn.prepareStatement(sql);
          pstmt.setString(1, "' or 1=1#");
          rs = pstmt.executeQuery();
          System.out.println(pstmt);
          while (rs.next()) {
              System.out.println("student_id：" + rs.getInt("student_id") + "\t"
                      + "student_name：" + rs.getString("student_name") + "\t"
                      + "student_age：" + rs.getString("student_age") + "\t"
                      + "student_tele：" + rs.getString("student_tele") + "\t");
          }
      } catch (SQLException e) {
          e.printStackTrace();
      } finally {
          Conn.close(conn);
      }
  }

看到使用PreparedStatement之后，特殊符号被转义，无法按照设想的sql语句执行

CallableStatement

CallableStatement接口提供了执行存储过程的方法。

该方法用的不是很多，不做过多介绍。

Mybatis框架

MyBatis 是⼀款优秀的持久层框架，它⽀持定制化 SQL、存储过程以及⾼级映射。MyBatis 避免 了⼏乎 所有的 JDBC 代码和⼿动设置参数以及获取结果集。MyBatis 可以使⽤简单的 XML 或注 解来配置和映 射原⽣类型、接⼝和 Java 的 POJO（Plain Old Java Objects，普通⽼式 Java 对 象）为数据库中的记 录。

基于xml实现mybatis基本使用

实体类Student各个参数与数据库中目标表的列名一一对应，包括参数名，参数类型。

Dao接口文件：

package com.mybatis.dao;

import com.mybatis.pojo.Student;
import org.apache.ibatis.annotations.Param;

import java.util.List;

public interface StudentDao {
    public List<Student> selectStudent(@Param("name")String name);
}

MapperXmlSQL语句映射文件:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">  //映射文件DTD约束头
<mapper namespace="com.mybatis.dao.StudentDao"> //命名空间，与下面语句的id一起组成查询的标识
<select id="selectStudent" resultType="com.mybatis.pojo.Student"> //查询操作，可选的还有insert、update、delete 
        select * from student_table where student_name = #{name}  //sql语句
</select>
</mapper>

MyBatis.xml配置文件：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE configuration
        PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-config.dtd">
<configuration>
<!--  <properties resource="config.properties"/>-->
  <environments default="development">
    <environment id="development">
      <transactionManager type="JDBC" />   //食物管理器
      <dataSource type="POOLED">     //数据源,POOLED表示的是使用数据库的连接池方式。
        <property name="driver" value="com.mysql.jdbc.Driver" />
        <property name="url" value="jdbc:mysql://127.0.0.1:3307/Demo?useSSL=false" />
        <property name="username" value="root" />
        <property name="password" value="root" />
      </dataSource>
    </environment>
  </environments>
  <mappers>
    <mapper resource="mybatis/StudentMapper.xml"/>   
  </mappers>
</configuration>

测试类：

package com.mybatis;

import com.mybatis.dao.StudentDao;
import com.mybatis.pojo.Student;
import org.apache.ibatis.io.Resources;
import org.apache.ibatis.session.SqlSession;
import org.apache.ibatis.session.SqlSessionFactory;
import org.apache.ibatis.session.SqlSessionFactoryBuilder;

import java.io.IOException;
import java.io.InputStream;
import java.util.ArrayList;
import java.util.List;

public class Demo {

     /**
     * 从 XML 中构建 SqlSessionFactory，从中获得 SqlSession 的实例，通过 SqlSession 实例来直接执行已映射的 SQL 语句
     * @throws IOException
     */
    public static void xmlTest() throws IOException {
        //1. 读取配置文件
        String resource = "mybatis/mybatis-config.xml";
        InputStream inputStream = Resources.getResourceAsStream(resource);
        //2. 创建SqlSessionFactory工厂
        SqlSessionFactory sqlSessionFactory = new SqlSessionFactoryBuilder().build(inputStream);
        //3. 使用SqlSessionFactory工厂生产SqlSession对象
        SqlSession session = sqlSessionFactory.openSession();
        try {
            //4. 使用SqlSession创建Dao接口的代理对象
            StudentDao studentMapper = session.getMapper(StudentDao.class);
            //5. 使用代理对象执行方法
//            List<String> list = new ArrayList<String>();
//            list.add("1");
//            list.add("2");
//            List<Student> student = studentMapper.selectStudent(list);
            List<Student> student = studentMapper.selectStudent("tom");
//            List<Student> student = studentMapper.selectStudent("%' or 1=1#");
            for (Student s: student) {
                System.out.println(s);
            }
        } finally {
            session.close();
            inputStream.close();
        }
    }

    public static void main(String[] args) throws IOException {
        xmlTest();
    }
}

Mybatis中存在的注入问题

动态sql

动态sql是mybatis的主要特性之一，在mapper中定义的参数传到xml中之后，在查询之前mybatis会对其进行动态解析。mybatis框架中，接受用户参数有两种方式：

1. ${param}方式
2. #{param}方式

#{}会自动传入值加上单引号，而${}不会。

例如刚才的：

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">  //映射文件DTD约束头
<mapper namespace="com.mybatis.dao.StudentDao"> //命名空间，与下面语句的id一起组成查询的标识
<select id="selectStudent" resultType="com.mybatis.pojo.Student"> //查询操作，可选的还有insert、update、delete 
        select * from student_table where student_name = #{name}  //sql语句
</select>
</mapper>

传入的name为tom

那么实际提交的sql语句就为：select * from student_table where student_name = 'tom'

但是假如说把#改成$，就会发生报错。

因为执行的sql语句为：select * from student_table where student_name = tom

不安全的${}

修改mapper文件，我们拼接引号：

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.mybatis.dao.StudentDao">
<select id="selectStudent" resultType="com.mybatis.pojo.Student">
        select * from student_table where student_name = '${name}'
</select>
</mapper>

此时如果提交 ' or 1=1 #

则sql语句就成为了select * from student_table where student_name = '' or 1=1 #

而假如说使用的是#{}的话

则sql语句会处理为select * from student_table where student_name = ?

java中常见的注入场景

like模糊匹配

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="mybatis.dao.StudentDao">
<select id="selectStudent" resultType="mybatis.pojo.Student">
select * from student_table where student_name like '%#{name}%'
</select>
</mapper>

mybatis会处理为：select * from student_table where student_name like '%?%'

因为引号内的？会被当做值处理，所以这里会报错找不到占位符。

所以有些开发不得不使用$去代替#符号，用来完成他们想完成的功能。

比如这样：

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="mybatis.dao.StudentDao">
<select id="selectStudent" resultType="mybatis.pojo.Student">
select * from student_table where student_name like '%${name}%'
</select>
</mapper>

但是这样就可能造成sql注入。

In语句

同样对dao文件进行修改

public interface StudentDao {
    public List<Student> selectStudent(@Param("id")String name);
}

Mapper文件：

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.mybatis.dao.StudentDao">
<select id="selectStudent" resultType="com.mybatis.pojo.Student">
        select * from student_table where student_name in '%#{name}%'
</select>
</mapper>

提交的id=“1,2”，实际提交的sql语句为：select * from student_table where student_id in ('1,2')

但是这样只能查出一个结果来。

修改mapper文件接受用户输入为$。此时实际提交的SQL语句为:select * from student_table where student_id in (1,2)

提交的id为1) or 1=1 #

此时就可能造成sql注入。 select * from student_table where student_id in (1) or 1=1 #

order by和group by语句

凡是字符串但又不能加引号的位置都不能预编译参数化，这种场景不仅order by还有group by

比如执行sql语句:select * from student_table order by student_age

根据student_age默认按照升序排列。

如果执行sql语句：select * from student_table order by 'student_age'。数据库表则会原样输出，没有任何排序，因为order by 后跟一个字符串，为常量列排序。而常量列所有值都相等，所以也就不会有任何排序。

同样的，这个体现在程序里面也只能使用$号来接受变量。

但是$号，也会随之带来注入的问题，比如提交sql语句为：if(1=1,student_age,student_tele)。则实际提交的sql语句为:select * from student_table orer by if(1=1,student_age,student_tele)

同理 group by也与 order by 一样。

总结

容易产生sql注入漏洞的场景有

1. 模糊查询
2. in查询
3. order by ，group by 查询

因为在项目中，直接使用#等预编译处理会报错，所以程序员在开发中不得已使用了拼接，成为了注入的高发点。