Java安全编码之sql注入 _Java

文章插图

作者：maoge@云影实验室
JAVA安全编码会是一个系列的文章。此文章为该系列的第一篇。
1.框架介绍目前hibernate和mybatis为java项目广泛采用的两个框架。由于hibernate使用方便，以前的项目采用hibernate非常的广泛，但是后面由于hibernate的侵入式特性，后面慢慢被mybatis所取代。下面我们会以springboot为基础，分别搭建hibernate和mybatis的漏洞环境。

2.配置说明Springboot采用2.3.1.RELEASE，MySQL版本为5.7.20 。数据库有一张表user_tbl 。数据如下：

文章插图

3.HibernateHibernate 是一个开放源代码的对象关系映射框架，它对 JDBC 进行了非常轻量级的对象封装，是一个全自动的 ORM 框架。Hibernate 自动生成 SQL 语句，自动执行。
3.1环境搭建结构如下，ctl为控制层，service为服务层，dao为持久层。为了方便没有按照标准的接口实现，我们只关注漏洞的部分。

文章插图

Beans下User.java对用为user_tbl表结构。

文章插图

我们使用/inject 接口,p为接受外部的参数，来查询User的列表，使用fastjson来格化式输出。

文章插图

我们回到dao层。
3.1.1 SQL注入SQL注入我们使用字符串拼接方式：

文章插图

访问http://localhost:8080/inject?p=m 直接用sqlmap跑一下：

文章插图

很容易就注入出数据来了。
3.1.2 Hql注入HQL（Hibernate Query Language）是hibernate专门用于查询数据的语句，有别于SQL，HQL 更接近于面向对象的思维方式。表名就是对应我们上面的entity配置的。Hql注入利用难度比sql注入利用大，比如一般程序员不会对系统表进行映射，那么通过系统表获取属性的几乎不可能的，同时由于hql对于复杂的语句支持比较差，对攻击者来说需要花费更多时间去构造可用的payload，更多详细的语法可以参考https://docs.huihoo.com/hibernate/reference-v3_zh-cn/queryhql.html

文章插图

3.1.3 预编译我们使用setParameter的方式，也就是我们熟知的预编译的方式。Query query = (Query) this.entityManager.createQuery(“from User u where u.userName like :userName “,User.class);query.setParameter(“userName”,”%”+username+”%”);访问http://localhost:8080/inject?p=m 后得到正常结果