常见的Java审计代码函数关键字_转载:Java代码审计汇总系列(一)——SQL注入

原文链接:https://cloud.tencent.com/developer/article/1534109

b35d23c1c06220aeb72fe4addeab5efe.png

一、代码审计

相比黑盒渗透的漏洞挖掘方式,代码审计具有更高的可靠性和针对性,更多的是依靠对代码、架构的理解;使用的审计工具一般选择Eclipse或IDEA;审计工作过程主要有三步:风险点发现——>风险定位追踪——>漏洞利用,所以审计不出漏洞无非就是find:“找不到该看哪些代码”和judge:“定位到代码但判断不出有没有问题”。而风险点发现的重点则在于三个地方:用户输入(入参)处+检测绕过处+漏洞触发处,一般审计代码都是借助代码扫描工具(Fortify/Checkmarx)或从这三点着手。

本系列选取WebGoat作为案例,讲解漏洞的特征发现、定位技巧、调试及触发利用的具体过程,尽量涵盖所有的挖掘场景,最后补充实战挖掘案例。

二、SQLi漏洞挖掘

1、介绍

SQLi是最著名也是影响最广的漏洞之一,注入漏洞都是程序把用户输入的数据当做代码执行,发现的关键有两个,第一是用户能够控制输入;第二是用户输入的数据被拼接到要执行的代码中从而被执行。

2、挖掘过程

这里以webgoat的数字型注入讲解SQLi漏洞的挖掘过程:

ee0971bf1cd40540c9674a8482396842.png

1) 定位特定功能模块的代码

了解不同框架特性,本系统的Springboot注解:

@RequestMapping(path= PATH)

@GetMapping(path= PATH)

@PostMapping(path= PATH)

通过抓取请求数据包获取path特征SqlInjection/assignment5b:

1620

使用IDEA的全局搜索功能(SHIFT+CTRL+F)定位到代码:

1620

2) 代码分析

SqlInjectionLesson5b.java类代码如下:

@PostMapping("/SqlInjection/assignment5b")

@ResponseBody

public AttackResult completed(@RequestParam String userid, @RequestParam String login_count, HttpServletRequest request) throws IOException {

return injectableQuery(login_count, userid);

}

protected AttackResult injectableQuery(String login_count, String accountName) {

String queryString = "SELECT * From user_data WHERE Login_Count = ? and userid= " + accountName;

try {

Connection connection = DatabaseUtilities.getConnection(getWebSession());

PreparedStatement query = connection.prepareStatement(queryString, ResultSet.TYPE_SCROLL_INSENSITIVE,

ResultSet.CONCUR_READ_ONLY);

这是一个典型的动态拼接用户输入和防范案例,系统接收两个参数login_count和userid,其中login_count通过“+”直接拼接,而userid首先通过类型转换为Integer赋值给count,并经过了预编译(参数化请求)处理,不存在SQLi漏洞。

3)漏洞验证

最后构造路径及参数POC验证漏洞存在:

1620

3、漏洞分类挖掘技巧

根据挖掘经验,白盒挖掘层面大致可以将SQLi的类型分为六类:

1、入参直接动态拼接;

2、预编译有误;

3、框架注入(Mybatis+Hibernate);

4、order by 绕过预编译;

5、%和_绕过预编译;

6、SQLi检测绕过

1) 参数直接拼接

最明显的“+”拼接,思路一般有二:通过关键字定位到SQL语句,回溯参数是否是用户可控;或通过跟踪用户输入,是否执行SQL操作,搜索的关键词有:

Select|insert|update|delete|java.sql.Connection|Statement|.execute|.executeQuery|jdbcTemplate|queryForInt|queryForObject|queryForMap|getConnection|PreparedStatement|Statement|execute|jdbcTemplate|queryForInt|queryForObject|queryForMap|executeQuery|getConnection

2) 预编译有误

并不是使用了预编译PreparedStatement一定就可以防止SQL注入,动态拼接SQL同样存在SQLi注入,这也是实际审计中高发的问题,下面代码就是典型的预编译有误:

String query = "SELECT * FROM usersWHERE userid ='"+ userid + "'" + " AND password='" +password + "'";

PreparedStatement stmt =connection.prepareStatement(query);

ResultSet rs = stmt.executeQuery();

定位预编译可以通过搜索关键函数:

setObject()、setInt()、setString()、setSQLXML()

3) 框架注入

Hibernate典型的注入代码为:

session.createQuery("from Book wheretitle like '%" + userInput + "%' and published = true")

或形如:

{

StringBuffer queryString = newStringBuffer();

queryString.append(“from Test where id=’”);

queryString.append(id);

queryString.append(‘\’’);

}

定位此框架的SQL注入首先需要在xml配置文件或import包里确认是否使用此框架,然后使用关键字createQuery,session.save(,session.update(,session.delete进行定位。

Mybatis有两种变量方法,不安全的写法为:

select * from books where id= ${id}

安全的写法为JDBC预编译:

select * from books where id= #{id}

此外like、in和order by语句也需要使用#,挖掘技巧则是在注解中或者Mybatis相关的配置文件中搜索 $。

4) order by 绕过预编译

类似下面sql语句 order by 后面是不能用预编译处理的只能通过拼接处理,只能手动进行过滤,详见案例。

String sql = “Select * from news where title =?”+ “order by‘” + time + “’asc”

5) %和_绕过预编译

预编译是不能处理%,需要手动过滤,否则会造成慢查询和DOS。

6) SQLi检测绕过

若SQL在处理过程中经过黑/白名单(正则)或Filter检测,通常检测代码存在缺陷则可进行检测绕过。

4、漏洞防御

OWASP官方推荐的SQLi防御方案有四种:

1)预编译(参数化查询)

PreparedStatement stmt =connection.prepareStatement("SELECT * FROM users WHERE userid=? ANDpassword=?");

stmt.setString(1, userid);

stmt.setString(2, password);

ResultSet rs = stmt.executeQuery();

2)存储过程

使用CallableStatement对存储过程接口的实现来执行数据库查询,SQL代码定义并存储在数据库本身中,然后从应用程序中调用,使用存储过程和预编译在防SQLi方面的效果是相同的。

String custname =request.getParameter("customerName");

try {

CallableStatement cs = connection.prepareCall("{callsp_getAccountBalance(?)}");

cs.setString(1, custname);

ResultSet results = cs.executeQuery();

} catch (SQLException se) {

}

3)黑/白名单验证

属于输入验证的范畴,大多使用正则表达式限制,或对于诸如排序顺序之类的简单操作,最好将用户提供的输入转换为布尔值,然后将该布尔值用于选择要附加到查询的安全值。

public String someMethod(boolean sortOrder) {

String SQLquery = "someSQL ... order by Salary " + (sortOrder ? "ASC" :"DESC");`

4) 输出转义

将用户输入放入查询之前对其进行转义,OWASP企业安全性API(ESAPI)是一个免费的开源Web应用程序安全控制库。

CodecORACLE_CODEC = new OracleCodec();

Stringquery = "SELECT user_id FROM user_data WHERE user_name = '"

+ESAPI.encoder().encodeForSQL( ORACLE_CODEC,req.getParameter("userID"))

+ "'and user_password = '"

+ ESAPI.encoder().encodeForSQL( ORACLE_CODEC,req.getParameter("pwd")) +"'";

5)框架修复:

对于Mybatis框架:

select * from news where tile like concat(‘%’,#{title}, ‘%’),

select * from news where id in

#{item}

Mybatis的order by语句可以选择在java层做映射或过滤用户输入进行防御。

对于Hibernate(HQL)框架预编译:

方法一:

Query query=session.createQuery(“from Useruser where user.name=:customername and user:customerage=:age ”);

query.setString(“customername”,name);

query.setInteger(“customerage”,age);

方法二:

String hql ="FROM User user where user.name=? and user.age=?";

Query q =session.createQuery(hql);

q.setString(0, name);

q.setInteger(1,age);

5、实战案例

1) Mybatis框架

对文章删除功能进行审计,articelId参数前端可控:

@RequestMapping("/delete")

public ModelAndView delete(HttpServletRequestrequest) {

ModelAndView model = newModelAndView();

try {

model.setViewName(this.getRequestUri(request));

String[] aridArr = request.getParameterValues("articelId");

if (aridArr != null&& aridArr.length > 0) {

this.deleteArticle(aridArr);

}

} catch (Exception e) {

model.setViewName(this.setExceptionRequest(request,e));

logger.error("AdminArticleController.delete()--error",e);

}

return model;

}

顺着变量的走向进行审计,articelId赋值给aridArr,而后进行了为空的判断,不为空则执行deleteArticle操作,跟踪定位此函数:

private void deleteArticle(String[]artidArr) {

//删除数据中记录

articleService.deleteArticleByIds(artidArr);

EHCacheUtil.remove(CacheConstans.ARTICLE_GOOD_RECOMMEND);

继续跟踪操作,articleService类的deleteArticleByIds函数,继而进入DAO层,在ArticleDaoImpl.java内:

public void deleteArticleByIds(StringarticleIds) {

this.delete("ArticleMapper.deleteArticleByIds",articleIds);

}

进入ArticleMapper.xml,最终追踪到deleteArticleByIds的SQL语句,使用了$拼接,典型的Mybatis注入:

DELETEFROM EDU_ARTICLE WHERE EDU_ARTICLE.ARTICLE_ID IN (${value})

除了顺向思维,还可以通过逆向思维挖掘,pom.xml中看到系统使用的是Mybatis框架,可以直接去审查Maper.xml文件,查看是否使用$拼接:

UTF-8

3.2.12.RELEASE

3.2.7

1.7.3

1.7

2) Order by绕过预编译

Webgoat一个order by的案例:

1620

order by的参数orderExpression可以是一个selectExpression也可以是一个函数,比如使用一个case语句。

案例中可以根据IP或ID对数据进行排序:

1620

对应代码为Server.java:

@GetMapping(produces =MediaType.APPLICATION_JSON_VALUE)

@SneakyThrows

@ResponseBody

public List sort(@RequestParamString column) {

Connection connection = DatabaseUtilities.getConnection(webSession);

PreparedStatement preparedStatement =connection.prepareStatement("select id, hostname, ip, mac, status, descriptionfrom servers where status <> 'outof order' order by " + column);

ResultSet rs = preparedStatement.executeQuery();

List servers = Lists.newArrayList();

while (rs.next()) {

Server server = new Server(rs.getString(1), rs.getString(2),rs.getString(3), rs.getString(4), rs.getString(5), rs.getString(6));

servers.add(server);

}

虽使用了预编译但仍拼接了order by参数column,使用case探测语句探测:(case when (true) then id else ip end),如果真则以id排序,结果为:

1620

3) 预编译有误

查看FAQ页面数据功能getFaqPage函数,前端获取page等参数:

publicFaqPageInfo getFaqPage(String tenantId, Map conditions,int page, int pageSize, String like) {

try {

tenantId= WebUtil.getLoginTenantId();

FaqPageInfo fpi =FAQ_IO_SERVICE.getPageInfo(tenantId, conditions, page, pageSize, like);

for (FaqModel fm : fpi.getData()) {

fm.setWhitelistIds(WHITELIST_SERVICE.getWhiteListOnFaq(tenantId,fm.getId()));

}

return fpi;

}

跟踪FAQ_IO_SERVICE.getPageInfo,调用FaqSqlAccess.queryByPage进行处理:

public FaqPageInfo getPageInfo(StringtenantId, Map conditions, int page, int pageSize, Stringlike)

throws SQLException {

FaqPageInfo pageInfo = new FaqPageInfo();

pageInfo.setData(FaqSqlAccess.queryByPage(tenantId, conditions, page,pageSize, like));

pageInfo.setTotalSize(FaqSqlAccess.queryCount(tenantId, conditions,like));

return pageInfo;

}

找到FaqSqlAccess.java里的queryByPage方法,追踪到SQL语句:

public static ListqueryByPage(String tenantId, Map conditions, int page,int pageSize, String like)

throws SQLException {

List models = new ArrayList<>();

String language = conditions.get("language");

Connection connection = null;

PreparedStatement stmt = null;

try {

connection = MysqlUtils.getConnection();

String sql = "select id, name, description, language, update_time,is_on from TOC_FAQ where tenant_id=?";

if (!CommonUtils.isEmptyStr(language))

sql += " andlanguage='" + language + "'";

if (!CommonUtils.isEmptyStr(like))

sql += " and name like'%" + like + "%'";

sql += " order by update_time desc limit ?,?";

stmt = connection.prepareStatement(sql);

stmt.setString(1, tenantId);

stmt.setInt(2, (page - 1) * pageSize);

stmt.setInt(3, pageSize);

ResultSet resultSet = stmt.executeQuery();

发现此处使用了预编译,但language和like参数实际是直接拼接,存在SQL注入,对于getFaqPage功能构造参数"language":"'-if(substring(user(),1,1)=0x01,sleep(5),0)-'"}进行验证。

简单或复杂的SQL注入漏洞原理和审计方法相同,只是对于业务繁杂的系统,数据的走向和处理过程会比较复杂,调用链跟踪难度会稍大一些,需要更多耐心。

1620

一、代码审计

相比黑盒渗透的漏洞挖掘方式,代码审计具有更高的可靠性和针对性,更多的是依靠对代码、架构的理解;使用的审计工具一般选择Eclipse或IDEA;审计工作过程主要有三步:风险点发现——>风险定位追踪——>漏洞利用,所以审计不出漏洞无非就是find:“找不到该看哪些代码”和judge:“定位到代码但判断不出有没有问题”。而风险点发现的重点则在于三个地方:用户输入(入参)处+检测绕过处+漏洞触发处,一般审计代码都是借助代码扫描工具(Fortify/Checkmarx)或从这三点着手。

本系列选取WebGoat作为案例,讲解漏洞的特征发现、定位技巧、调试及触发利用的具体过程,尽量涵盖所有的挖掘场景,最后补充实战挖掘案例。

二、SQLi漏洞挖掘

1、介绍

SQLi是最著名也是影响最广的漏洞之一,注入漏洞都是程序把用户输入的数据当做代码执行,发现的关键有两个,第一是用户能够控制输入;第二是用户输入的数据被拼接到要执行的代码中从而被执行。

2、挖掘过程

这里以webgoat的数字型注入讲解SQLi漏洞的挖掘过程:

1620

1) 定位特定功能模块的代码

了解不同框架特性,本系统的Springboot注解:

@RequestMapping(path= PATH)

@GetMapping(path= PATH)

@PostMapping(path= PATH)

通过抓取请求数据包获取path特征SqlInjection/assignment5b:

1620

使用IDEA的全局搜索功能(SHIFT+CTRL+F)定位到代码:

1620

2) 代码分析

SqlInjectionLesson5b.java类代码如下:

@PostMapping("/SqlInjection/assignment5b")

@ResponseBody

public AttackResult completed(@RequestParam String userid, @RequestParam String login_count, HttpServletRequest request) throws IOException {

return injectableQuery(login_count, userid);

}

protected AttackResult injectableQuery(String login_count, String accountName) {

String queryString = "SELECT * From user_data WHERE Login_Count = ? and userid= " + accountName;

try {

Connection connection = DatabaseUtilities.getConnection(getWebSession());

PreparedStatement query = connection.prepareStatement(queryString, ResultSet.TYPE_SCROLL_INSENSITIVE,

ResultSet.CONCUR_READ_ONLY);

这是一个典型的动态拼接用户输入和防范案例,系统接收两个参数login_count和userid,其中login_count通过“+”直接拼接,而userid首先通过类型转换为Integer赋值给count,并经过了预编译(参数化请求)处理,不存在SQLi漏洞。

3)漏洞验证

最后构造路径及参数POC验证漏洞存在:

1620

3、漏洞分类挖掘技巧

根据挖掘经验,白盒挖掘层面大致可以将SQLi的类型分为六类:

1、入参直接动态拼接;

2、预编译有误;

3、框架注入(Mybatis+Hibernate);

4、order by 绕过预编译;

5、%和_绕过预编译;

6、SQLi检测绕过

1) 参数直接拼接

最明显的“+”拼接,思路一般有二:通过关键字定位到SQL语句,回溯参数是否是用户可控;或通过跟踪用户输入,是否执行SQL操作,搜索的关键词有:

Select|insert|update|delete|java.sql.Connection|Statement|.execute|.executeQuery|jdbcTemplate|queryForInt|queryForObject|queryForMap|getConnection|PreparedStatement|Statement|execute|jdbcTemplate|queryForInt|queryForObject|queryForMap|executeQuery|getConnection

2) 预编译有误

并不是使用了预编译PreparedStatement一定就可以防止SQL注入,动态拼接SQL同样存在SQLi注入,这也是实际审计中高发的问题,下面代码就是典型的预编译有误:

String query = "SELECT * FROM usersWHERE userid ='"+ userid + "'" + " AND password='" +password + "'";

PreparedStatement stmt =connection.prepareStatement(query);

ResultSet rs = stmt.executeQuery();

定位预编译可以通过搜索关键函数:

setObject()、setInt()、setString()、setSQLXML()

3) 框架注入

Hibernate典型的注入代码为:

session.createQuery("from Book wheretitle like '%" + userInput + "%' and published = true")

或形如:

{

StringBuffer queryString = newStringBuffer();

queryString.append(“from Test where id=’”);

queryString.append(id);

queryString.append(‘\’’);

}

定位此框架的SQL注入首先需要在xml配置文件或import包里确认是否使用此框架,然后使用关键字createQuery,session.save(,session.update(,session.delete进行定位。

Mybatis有两种变量方法,不安全的写法为:

select * from books where id= ${id}

安全的写法为JDBC预编译:

select * from books where id= #{id}

此外like、in和order by语句也需要使用#,挖掘技巧则是在注解中或者Mybatis相关的配置文件中搜索 $。

4) order by 绕过预编译

类似下面sql语句 order by 后面是不能用预编译处理的只能通过拼接处理,只能手动进行过滤,详见案例。

String sql = “Select * from news where title =?”+ “order by‘” + time + “’asc”

5) %和_绕过预编译

预编译是不能处理%,需要手动过滤,否则会造成慢查询和DOS。

6) SQLi检测绕过

若SQL在处理过程中经过黑/白名单(正则)或Filter检测,通常检测代码存在缺陷则可进行检测绕过。

4、漏洞防御

OWASP官方推荐的SQLi防御方案有四种:

1)预编译(参数化查询)

PreparedStatement stmt =connection.prepareStatement("SELECT * FROM users WHERE userid=? ANDpassword=?");

stmt.setString(1, userid);

stmt.setString(2, password);

ResultSet rs = stmt.executeQuery();

2)存储过程

使用CallableStatement对存储过程接口的实现来执行数据库查询,SQL代码定义并存储在数据库本身中,然后从应用程序中调用,使用存储过程和预编译在防SQLi方面的效果是相同的。

String custname =request.getParameter("customerName");

try {

CallableStatement cs = connection.prepareCall("{callsp_getAccountBalance(?)}");

cs.setString(1, custname);

ResultSet results = cs.executeQuery();

} catch (SQLException se) {

}

3)黑/白名单验证

属于输入验证的范畴,大多使用正则表达式限制,或对于诸如排序顺序之类的简单操作,最好将用户提供的输入转换为布尔值,然后将该布尔值用于选择要附加到查询的安全值。

public String someMethod(boolean sortOrder) {

String SQLquery = "someSQL ... order by Salary " + (sortOrder ? "ASC" :"DESC");`

4) 输出转义

将用户输入放入查询之前对其进行转义,OWASP企业安全性API(ESAPI)是一个免费的开源Web应用程序安全控制库。

CodecORACLE_CODEC = new OracleCodec();

Stringquery = "SELECT user_id FROM user_data WHERE user_name = '"

+ESAPI.encoder().encodeForSQL( ORACLE_CODEC,req.getParameter("userID"))

+ "'and user_password = '"

+ ESAPI.encoder().encodeForSQL( ORACLE_CODEC,req.getParameter("pwd")) +"'";

5)框架修复:

对于Mybatis框架:

select * from news where tile like concat(‘%’,#{title}, ‘%’),

select * from news where id in

#{item}

Mybatis的order by语句可以选择在java层做映射或过滤用户输入进行防御。

对于Hibernate(HQL)框架预编译:

方法一:

Query query=session.createQuery(“from Useruser where user.name=:customername and user:customerage=:age ”);

query.setString(“customername”,name);

query.setInteger(“customerage”,age);

方法二:

String hql ="FROM User user where user.name=? and user.age=?";

Query q =session.createQuery(hql);

q.setString(0, name);

q.setInteger(1,age);

5、实战案例

1) Mybatis框架

对文章删除功能进行审计,articelId参数前端可控:

@RequestMapping("/delete")

public ModelAndView delete(HttpServletRequestrequest) {

ModelAndView model = newModelAndView();

try {

model.setViewName(this.getRequestUri(request));

String[] aridArr = request.getParameterValues("articelId");

if (aridArr != null&& aridArr.length > 0) {

this.deleteArticle(aridArr);

}

} catch (Exception e) {

model.setViewName(this.setExceptionRequest(request,e));

logger.error("AdminArticleController.delete()--error",e);

}

return model;

}

顺着变量的走向进行审计,articelId赋值给aridArr,而后进行了为空的判断,不为空则执行deleteArticle操作,跟踪定位此函数:

private void deleteArticle(String[]artidArr) {

//删除数据中记录

articleService.deleteArticleByIds(artidArr);

EHCacheUtil.remove(CacheConstans.ARTICLE_GOOD_RECOMMEND);

继续跟踪操作,articleService类的deleteArticleByIds函数,继而进入DAO层,在ArticleDaoImpl.java内:

public void deleteArticleByIds(StringarticleIds) {

this.delete("ArticleMapper.deleteArticleByIds",articleIds);

}

进入ArticleMapper.xml,最终追踪到deleteArticleByIds的SQL语句,使用了$拼接,典型的Mybatis注入:

DELETEFROM EDU_ARTICLE WHERE EDU_ARTICLE.ARTICLE_ID IN (${value})

除了顺向思维,还可以通过逆向思维挖掘,pom.xml中看到系统使用的是Mybatis框架,可以直接去审查Maper.xml文件,查看是否使用$拼接:

UTF-8

3.2.12.RELEASE

3.2.7

1.7.3

1.7

2) Order by绕过预编译

Webgoat一个order by的案例:

1620

order by的参数orderExpression可以是一个selectExpression也可以是一个函数,比如使用一个case语句。

案例中可以根据IP或ID对数据进行排序:

1620

对应代码为Server.java:

@GetMapping(produces =MediaType.APPLICATION_JSON_VALUE)

@SneakyThrows

@ResponseBody

public List sort(@RequestParamString column) {

Connection connection = DatabaseUtilities.getConnection(webSession);

PreparedStatement preparedStatement =connection.prepareStatement("select id, hostname, ip, mac, status, descriptionfrom servers where status <> 'outof order' order by " + column);

ResultSet rs = preparedStatement.executeQuery();

List servers = Lists.newArrayList();

while (rs.next()) {

Server server = new Server(rs.getString(1), rs.getString(2),rs.getString(3), rs.getString(4), rs.getString(5), rs.getString(6));

servers.add(server);

}

虽使用了预编译但仍拼接了order by参数column,使用case探测语句探测:(case when (true) then id else ip end),如果真则以id排序,结果为:

1620

3) 预编译有误

查看FAQ页面数据功能getFaqPage函数,前端获取page等参数:

publicFaqPageInfo getFaqPage(String tenantId, Map conditions,int page, int pageSize, String like) {

try {

tenantId= WebUtil.getLoginTenantId();

FaqPageInfo fpi =FAQ_IO_SERVICE.getPageInfo(tenantId, conditions, page, pageSize, like);

for (FaqModel fm : fpi.getData()) {

fm.setWhitelistIds(WHITELIST_SERVICE.getWhiteListOnFaq(tenantId,fm.getId()));

}

return fpi;

}

跟踪FAQ_IO_SERVICE.getPageInfo,调用FaqSqlAccess.queryByPage进行处理:

public FaqPageInfo getPageInfo(StringtenantId, Map conditions, int page, int pageSize, Stringlike)

throws SQLException {

FaqPageInfo pageInfo = new FaqPageInfo();

pageInfo.setData(FaqSqlAccess.queryByPage(tenantId, conditions, page,pageSize, like));

pageInfo.setTotalSize(FaqSqlAccess.queryCount(tenantId, conditions,like));

return pageInfo;

}

找到FaqSqlAccess.java里的queryByPage方法,追踪到SQL语句:

public static ListqueryByPage(String tenantId, Map conditions, int page,int pageSize, String like)

throws SQLException {

List models = new ArrayList<>();

String language = conditions.get("language");

Connection connection = null;

PreparedStatement stmt = null;

try {

connection = MysqlUtils.getConnection();

String sql = "select id, name, description, language, update_time,is_on from TOC_FAQ where tenant_id=?";

if (!CommonUtils.isEmptyStr(language))

sql += " andlanguage='" + language + "'";

if (!CommonUtils.isEmptyStr(like))

sql += " and name like'%" + like + "%'";

sql += " order by update_time desc limit ?,?";

stmt = connection.prepareStatement(sql);

stmt.setString(1, tenantId);

stmt.setInt(2, (page - 1) * pageSize);

stmt.setInt(3, pageSize);

ResultSet resultSet = stmt.executeQuery();

发现此处使用了预编译,但language和like参数实际是直接拼接,存在SQL注入,对于getFaqPage功能构造参数"language":"'-if(substring(user(),1,1)=0x01,sleep(5),0)-'"}进行验证。

简单或复杂的SQL注入漏洞原理和审计方法相同,只是对于业务繁杂的系统,数据的走向和处理过程会比较复杂,调用链跟踪难度会稍大一些,需要更多耐心。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/380750.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

php中函数参数个数问题

形参大于实参 <?phpheader(content-type:text/html;charsetutf-8);function fun($name,$sex,$age){echo 名字是.$name,<br>;echo 性别是.$sex,<br>;echo 年龄是.$age,<br>;}fun(DL_one,21); ?>可以看出&#xff0c;能执行但报错 实参个数大于形参个…

php的静态变量static在函数内部

静态变量放在函数内 <?phpheader(content-type:text/html;charsetutf-8);function fun(){static $num1;$num;echo $num,<br>;}fun();fun(); ?>静态变量放在函数内&#xff0c;作用域没变&#xff0c;生命周期变了&#xff0c;页面执行完毕才销毁&#xff0c;静态…

java json帮助类_java 写一个JSON解析的工具类

上面是一个标准的json的响应内容截图&#xff0c;第一个红圈”per_page”是一个json对象&#xff0c;我们可以根据”per_page”来找到对应值是3&#xff0c;而第二个红圈“data”是一个JSON数组&#xff0c;而不是对象&#xff0c;不能直接去拿到里面值&#xff0c;需要遍历数组…

php函数的预加载

php代码的执行过程&#xff1a;词法分析-------语法分析------------编译-----------加载编译的代码--------执行 函数的预加载就是在加载编译的代码过程中&#xff0c;会把函数的代码加载到内存中去&#xff0c;搜易我们在执行代码的时候&#xff0c;函数已经在内存中了 <…

php中的__FUNCTION__

__FUNCTION__:魔术常量&#xff0c;获取函数名 <?phpheader(content-type:text/html;charsetutf-8);function fun(){echo __FUNCTION__;}fun(); ?>

数字图像的大小、所需比特数(二维)

二维数字图像所需的比特数根据公式&#xff1a; 其中&#xff1a; b&#xff1a;数字图像所需的比特数 MN&#xff1a;数字图像的行和列 k&#xff1a;由灰度级算出&#xff0c;公式如下&#xff1a; L&#xff1a;图像的灰度级 比如&#xff1a; 存储一幅大小为 1024x1024&a…

4邻接、8邻接、m邻接

在认识这些之前&#xff0c;我们首先要认识4领域、8领域 4领域&#xff1a; 像素p的坐标是(x,y)&#xff0c;那么他的4领域坐标N4是&#xff1a;&#xff08;x1,y&#xff09;、(x-1,y)&#xff0c;&#xff08;x&#xff0c;y1&#xff09;、(x,y-1) 8领域&#xff1a; 点p的…

java aop注解拦截_Spring AOP 拦截指定注解标识的类或方法

代码DemoAspectComponentOrder(10)public class BidAuthorityProxy {/*** 扫描指定包下的类中使用EnableRoleAuthority注解修饰的类*/Around("within(com.core.annotation.EnableRoleAuthority) && within(com.bid..*)")public Object verifyRoleExecuteComm…

php的文件包含总结 include require include_once require_once

文件包含相当于将另一个文件的代码全部复制到另一个文件中&#xff0c;然后执行。包含文件很有用&#xff0c;如果您需要在网站的多张页面上引用相同的 PHP、HTML 或文本的话。比如说我们在浏览csdn很多页面中&#xff0c;基本都是看到下面的内容&#xff0c;为了不要每次都要写…

php终止脚本执行(exit、die、return)

终止php的脚本执行&#xff0c;我们可以使用exit&#xff0c;die&#xff0c;return 0x01 exit和die&#xff0c; 当程序运行到他们时&#xff0c;直接退出程序&#xff0c;不在运行 <?phpheader(content-type:text/html;charsetutf-8);echo 使用exit前;echo <br>…

php的延时sleep函数

语法&#xff1a;sleep&#xff08;秒数&#xff09; <?phpheader(content-type:text/html;charsetutf-8);sleep&#xff08;5&#xff09;;echo 我的名字是DL_one; ?>输出时可以发现要等待一段时间才能输出 sleep函数在代码测试时很有用

PHP的foeach用法

PHP 4 引入了 foreach 结构&#xff0c;用foreach可以帮助我们简单遍历数组&#xff0c;foreach 仅能用于数组&#xff0c;当用于其它数据类型或者一个未初始化的变量时会产生错误。 其用法为&#xff1a; foreach(数组 as 键 > 值){//循环体}当数组只有值&#xff0c;没有…

不为事务而事务

背景&#xff1a; 最近在做一个项目&#xff0c;需要用到两个第三方组件&#xff1a;北京莲塘语音组件和CMailSever前者作为语音聊天室的二次开发组件&#xff0c;后者用于网站的小型邮件系统二次开发组件 需求&#xff1a; 用户在主程序登陆后&#xff0c;无须再次登陆…

bugzilla学习

October 03, 2003 bugzilla学习 Bugzilla是一个bug追踪系统&#xff0c;用以管理bug提交、bug消除&#xff0c;不仅能降低同样错误的重复发生&#xff0c;提高开效率&#xff0c;而且有助于项目管理的难度。更有人打算用借助此系统&#xff0c;用前人的bug来教育新来的程序员&a…

php的list函数

作用&#xff1a;把索引数组中的值赋给一组变量&#xff0c;像 array() 一样&#xff0c;这不是真正的函数&#xff0c;而是语言结构。 list() 可以在单次操作内就为一组变量赋值。 <?phpheader(content-type:text/html;charsetutf-8);$personarray(DL_one,18,man);list($…

我也终于有被认为是高手的时候了,^_^

昨天&#xff0c;马超打电话&#xff0c;让我回去给老同事讲安装的制作过程&#xff0c;说什么——他们不会。 汗......心想&#xff0c;当初谁教我啊?!还不都是自己学习摸索的&#xff0c;可现如今人家话说到这儿&#xff0c;也不好硬搪塞掉&#xff0c;去就去呗&…

php的range函数

range() 函数用于创建一个包含指定范围的元素的数组。 语法&#xff1a; range(low,high,step) “”“ low:起始值 high&#xff1a;最大值 step&#xff1a;步长&#xff0c;可写可不写&#xff0c;默认为1 ”“”<?phpheader(content-type:text/html;charsetutf-8);$arr…

php常量变量连接,PHP常量及变量区别原理详解

常量&#xff1a;用于储存一个不会变化也不希望变化的数据的标示符(命名规则与变量相同)定义形式&#xff1a;使用 define() 函数定义使用形式&#xff1a;define(“常量名” &#xff0c;常量值)使用 counst 语法定义使用形式&#xff1a;counst 常量名 常量值使用常量&#…

字符串最长回文子串_最长回文子串

字符串最长回文子串Problem statement: 问题陈述&#xff1a; Given a string str, find the longest palindromic substring. A substring need to be consecutive such that for any xixj i<j must be valid in the parent string too. Like "incl" is a subst…

一个人在办公室的日子

同我一起工作的那个大学同学兼同事ALICE因为个人原因,最近请假了一个星期.剩下了孤单的我在公司应付日常英文翻译书写工作。的确有点闷&#xff0c;的确有些不习惯&#xff0c;点讲&#xff0c;习惯了两个人一起吃饭聊天&#xff0c;一起拼命赶稿子&#xff0c;一起饭后散步&am…