如何避免出现SQL注入漏洞

简介: 本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案。

image.png

作者 | 阿里云安全团队
来源 | 阿里技术公众号
‍‍‍‍‍‍‍‍

一 前言

本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案。

二 SQL注入漏洞的原理、形成原因

SQL注入漏洞,根本上讲,是由于错把外部输入当作SQL代码去执行。目前最佳的解决方案就是预编译的方式。

SQL语句在执行过程中,需要经过以下三大基本步骤:

  1. 代码语义分析
  2. 制定执行计划
  3. 获得返回结果

而一个SQL语句是由代码和数据两部分,如:

SELECT id, name, phone FROM userTable WHERE name = 'xiaoming';

SELECT id, name, phone FROM userTable WHERE name = 是代码,'xiaoming'是数据。

而预编译,以Mybatis为例,就是预先分析带有占位符的语义:

如SELECT id, name, phone FROM userTable WHERE id = #{name};

然后再将数据'xiaoming',传入到占位符。这样一来,错开来代码语义分析阶段,也就不会被误认为是代码的一部分了。

在最早期,开发者显式使用JDBC来自己创建Connection,执行SQL语句。这种情况下,如果将外部可控数据拼接到SQL语句,且没有做充分过滤的话,就会产生漏洞。这种情况在正常的业务开发过程中已经很少了,按照公司规定,无特殊情况下,必须使用ORM框架来执行SQL。

但目前部分项目中,仍会使用JDBC来编写一些工具脚本,如DataMerge.java 、DatabaseClean.java,借用JDBC的灵活性,通过这些脚本来执行数据库批量操作。

此类代码不应该出现在线上版本中,以免因各种情况,被外部调用。

三 直接使用Mybatis

1 易错点

目前大部分的平台代码是基于Mybatis来处理持久层和数据库之间的交互的,Mybatis传入数据有两种占位符{}和#{}。{}和#{}。{}可以理解为语义分析前的字符串拼接,讲传入的参数,原封不动地传入。

比如说

SELECT id, name, phone FROM userTable WHERE name = '${name}';
传入name=xiaoming后,相当于
SELECT id, name, phone FROM userTable WHERE name = 'xiaoming';

实际应用中

SELECT id, name, phone FROM userTable WHERE ${col} = 'xiaoming';
传入col = "name",相当于
SELECT id, name, phone FROM userTable WHERE name = 'xiaoming';

就像预编译原理介绍里讲的一样,使用#{} 占位符就不存在注入问题了。但有些业务场景是不可以直接使用#{}的。

比如order by语法中

如果编写SELECT id, name, phone FROM userTable ORDER BY #{}; ,执行时是会报错的。因为order by后的内容,是一个列名,属于代码语义的一部分。如果在语义分析部分没有确定下来,就相当于执行SELECT id, name, phone FROM userTable ORDER BY 。肯定会有语法错误。

再比如like场景下

SELECT id, name, phone FROM userTable WHERE name like '%#{name}%';
#{}不会被解析,从而导致报错。

in 语法和 between语法都是如此,那么如何解决这类问题呢?

2 正确写法

order by(group by)语句中使用${}

1.使用条件判断

image.png

2.使用全局过滤机制,限制order by后的变量内容只能是数字、字母、下划线。

如使用正则过滤:

keyword = keyword.replaceAll("[^a-zA-Z0-9_\s+]", "");

这里需要注意,过滤需要使用白名单,不能使用黑名单,黑名单无法解决注入问题。

LIKE语句

由于需要like中的关键词需要包裹在两个%符号中,因此可以使用CONCAT函数进行拼接。

image.png

注意不要用 CONCAT('%','${stuName}','%') ,这样仍然存在漏洞。也就是说,使用$符号是不对的,使用#符号才安全。

IN语句

类似于like语句,直接使用#{}会报错,常见的错误写法为:

tenant_id in (${tenantIds})

正确的写法为:

image.png

四 Mybatis-generator使用安全

繁重的CRUD代码压力下,开发者慢慢开始通过Mybatis-generator、idea-mybatis-generator插件、通用Mapper、Mybatis-generator-plus来自动生成Mapper、POJO、Dao等文件。

这些工具可以自动的生成CRUD所需要的文件,但如果使用不当,就会自动产生SQL注入漏洞。我们以最常用的org.mybatis.generator为例,来讲解可能会出现的问题。

1 动态语句支持

Mybatis-generator提供来一些函数,帮助用户把SQL的各个条件连接起来,比如多个参数的like语法,多个参数的比较语法。为了保证使用的简洁性,需要使用将一些语义代码拼接到SQL语句中。而如果开发者使用不当,将外部输入也传入了{}占位符。就会产生漏洞。

2 targetRuntime参数配置

在配置generator时,配置文件generator-rds.xml中有一个targetRuntime属性,默认为MyBatis3。在这种情况下,会启动Mybatis的动态语句支持,启动enableSelectByExample、enableDeleteByExample、enableCountByExample 以及 enableUpdateByExample功能。

以enableSelectByExample为例,会在xml映射文件中代入以下动态模块:

image.png

开发者include该模块就可以添加where条件,但如果使用不当,就会导致SQL注入漏洞:

image.png

并使用自定义的参数添加函数:

public Criteria addKeywordTo(String keyword) {StringBuilder sb = new StringBuilder();sb.append("(display_name like '%" + keyword + "%' or ");sb.append("org like '" + keyword + "%' or ");sb.append("status like '%" + keyword + "%' or ");sb.append("id like '" + keyword + "%') ");addCriterion(sb.toString());return (Criteria) this;
}

目的是为了实现同时对display_name、org、status、id的like操作。其中addCriterion是Mybatis-generator自带的函数:

protected void addCriterion(String condition) {if (condition == null) {throw new RuntimeException("Value for condition cannot be null");}criteria.add(new Criterion(condition));
}

这里的误区在于,addCriterion本身提供了多个条件的支持,但开发者认为需要自己把多个条件拼接起来,一同传入addCriterion方法。如同案例中的代码一样,最终传入addCriterion的只有一个参数。从而执行Example_Where_Clause语句中的:

image.png

也就是说,开发者把自己拼接的SQL语句,直接代入了${criterion.condition}中,从而导致了漏洞的产生。
而按照Mybatis-generator的文档,正确的写法应该是:

public void addKeywordTo(String keyword, UserExample userExample) {userExample.or().andDisplayNameLike("%" + keyword + "%");userExample.or().andOrgLike(keyword + "%");userExample.or().andStatusLike("%" + keyword + "%");userExample.or().andIdLike("%" + keyword + "%");
}

or方法负责创建Criteria,这时触发的逻辑就是

image.png

${criterion.condition}被替换为了没有单引号的like,like作为语义代码,在语义分析前拼接到了SQL语句中,而"%" + keyword + "%"会作为数据添加到预编译#{criterion.value}中去,从而避免了注入。

类似的,也提供了In语法的安全使用方法:

image.png

Beetween的安全使用方法:

  example.or().andField6Between(3, 7);

Mybatis-generator默认生成的order by语句也是使用${}直接进行拼接的:

image.png

如果没有对传入的参数进行额外的过滤的话,就会导致注入问题。

3 order by

除了自己写的SQL语句以外,Mybatis-generator默认生成的order by语句也是使用${}直接进行拼接的:

image.png

如果没有对传入的参数进行额外的过滤的话,就会导致注入问题。

PS: 实际扫雷过程中发现很多语句自动生成了order by语法,但上层调用时,并没有传入该可选参数。这种情况应当删除多余的order by语法。

4 其它插件

插件与插件之间的安全缺陷还不太一样,下面简单列举了常用的几种插件。

idea-mybatis-generator

这是IDEA的插件,可以在开发过程中,从IDE的层面,自动生成CRUD中需要的文件。使用该插件时,也有一些默认安全隐患需要注意。

1)自定义order by处理

like\in\between可以参照官方文档使用,无安全隐患。

但该插件没有内置的order by处理,需要自行编写,编写时,参考Case2

2)默认的IF条件前需要判断是否为空

插件默认生成的语法大致如下:

image.png

当ID参数为null时,if标签下的逻辑不会添加到SQL语句中,可能会导致DOS、权限绕过等漏洞。因此,参数传入查询语句前,需要确认不为空。

com.baomidou.mybatis-plus

  1. apply方法传参时,应当使用{}
  2. 自带的last方法,其原理是直接拼接到SQL语句的末尾,存在注入漏洞。

五 其它ORM框架

1 Hibernate

ORM全称为对象关系映射(Object Relational Mapping),简单地说,就是将数据库中的表映射为Java对象, 这种只有属性,没有业务逻辑的对象也叫做POJO(Plain Ordinary Java Object)对象。

Hibernate是第一个被广泛使用的ORM框架,它通过XML管理数据库连接,提供全表映射模型,封装程度很高。在配置映射文件和数据库链接文件后,Hibernate就可以通过Session对象进行数据库操作,开发者无需接触SQL语句,只需要写HQL语句即可。

Hibernate经常与Struts、Spring搭配使用,也就是Java世界的经典SSH框架。

HQL相较于SQL,多了很多语法限制:

  1. 不能查询未做映射的表,只有当模型之间的关系明确后,才可以使用UNION语法。
  2. 表名,列名大小写敏感。
  3. 没有*、#、-- 。
  4. 没有延时函数。

所以HQL注入利用要比SQL注入苦难得多。从代码审计的角度和普通SQL注入是一致的:

拼接会导致注入漏洞:

image.png

可以使用占位符和具名参数来防止SQL语句,其本质都是预编译。

image.png

image.png

Hibernate在使用过程中有很多不足:

  1. 全表映射不灵活,更新时需要发送所有字段,影响程序运行效率。
  2. 对复杂查询的支持很差。
  3. 对存储过程的支持很差。
  4. HQL性能较差,无法根据SQL进行优化。

在审计Hibernate相关注入时,可以通过全局搜索createQuery来快速定位SQL操作的位置。

2 JPA

JPA全称为Java Persistence API,是Java EE提供的一种数据持久化的规范,允许开发者通过XML或注解的方式,将某个对象,持久化到数据库中。

主要包括三方面内容:

1.ORM映射元数据,通过XML或注解,描述对象和数据表之间的对应关系。框架便可以自动将对象中的数据保存到数据库中。

常见的注解有:@Entity、@Table、@Column、@Transient

2.数据操作API,内置接口,方便对某个数据表执行CRUD操作,节省开发者编写SQL的时间。

常见的方法有:entityManager.merge(T t);

3.JPQL, 提供一种面向对象而不是面向数据库的查询语言,将程序和数据库、SQL解耦合。

JPA是一套规范,Hibernate实现了这一JPA规范。

image.png

在Spring框架中,提供了简易版的JPA实现——spirng data jpa。按照约定好的方法命名规则写dao层接口,就可以在不写接口实现的情况下,实现对数据库的访问和操作。同时提供了很多除了CRUD之外的功能,如分页、排序、复杂查询等等。使用起来更简单,但底层仍然在使用Hibernate的JPA实现。

和HQL注入一样,如果使用拼接的方式,将用户可控的数据代入了查询语句中,就会导致SQL注入。

安全的查询应该使用预编译技术。

Spring Data JPA的预编译写法为:

String getUser = "SELECT username FROM users WHERE id = ?";
Query query = em.createNativeQuery(getUser);
query.setParameter(1, id);
String username = query.getResultList();

小贴士:其实Hibernate的出现日期比JPA规范要早,Hibernate逐渐成熟之后,JavaEE的开发团队,邀请Hibernate核心开发人员一起制定了JPA规范。之后Spring Data JPA按照规范做了进一步优化。除此之外,JPA规范的实现有很多产品,比如Eclipse的TopLink(OracleLink)。

六 总结

经过上面的介绍,尤其是围绕Mybatis易错点的讨论,我们可以得到以下结论:

  1. 持久层组件种类繁多。
  2. 开发者对工具使用的错误理解,是漏洞出现的主要原因。
  3. 由于自动生成插件的动态特性,自动化发现SQL漏洞不能简单地使用${}来寻找。必须要根据全局的持久层组件特性,来做详细的匹配规则。

原文链接
本文为阿里云原创内容,未经允许不得转载。 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/512448.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

「CSDN 2021年度 IT 技术影响力之星评选」活动报名倒计时!

“CSDN 2021年度IT技术影响力之星评选”活动自2021年12月6日启动以来受到了行业各界的关注以及企业和个人的积极响应,截止目前,已收到上千份参评报名。本次评选活动的第一阶段——企业/个人参与提名将于2022年1月30日结束,以真实数据为基础&a…

技术人员的一点产品思维思考

简介: 作为一线的开发人员,大家是不是都经历过和产品吵得不可开焦,甚至最后谁也无法说服谁,最后只能由老板出面解决的经历。而大多数情况老板还真能以某种方法去解决,并且是一个双方都能接受的方案。然而这不全是因为老…

chrome插件上传csv_Chrome插件推荐

从 IE 到 Chrome ,期间使用了很多浏览器,搜狗、360、2345、傲游等等,最后选择了 Chrome ,一直到现在,在使用的过程中发现一些好用的插件(扩展程序),在此推荐给大家。PS:使…

极验创始人吴渊:恶意流量威胁新趋势,洞察网络黑产3大核心本质

天下没有免费的午餐,更没有免费的流量。以电商为例,最疯狂的时候,某电商平台单个获客成本接近400元。作为互联网的稀缺资源,流量的成本不断冲击着企业运营红线。 而就当企业盯着成本、守着转化时,网络黑产已完成对平台…

来啊,来魔改啊,人生重开模拟器一键托管上线

简介: 云开发平台将“人生重开模拟器”fork到了云开发的仓库了,用户只需要直接fork到自己的仓库以后就可以在云开发平台上进行快速魔改和一键部署,绑定自己的域名就能够让小伙伴们一起来感受你的魔改创意哦。 人生无法重来,游戏可…

从边缘到云,万物互联时代Aruba的技术经

作者 | 宋慧 出品 | CSDN 云计算 网络,是重要的 IT 基础设施之一。在 2021 年底,国际分析机构 Gartner 发布了本年度企业有线和无线局域网基础设施魔力象限,HPE 旗下公司 Aruba 连续第十六年被列入领导者象限。更早一些的 2021 年 Gartner 广…

Apache Hudi 在 B 站构建实时数据湖的实践

简介: B 站选择 Flink Hudi 的数据湖技术方案,以及针对其做出的优化。 本文作者喻兆靖,介绍了为什么 B 站选择 Flink Hudi 的数据湖技术方案,以及针对其做出的优化。主要内容为: 传统离线数仓痛点数据湖技术方案Hudi…

表格存储 SQL 查询多元索引

简介: 多元索引是表格存储产品中一个重要的功能,多元索引使用倒排索引技术为表格存储提供了非主键列上的快速检索功能,另外也提供了统计聚合功能。表格存储近期开放了SQL查询功能,SQL引擎默认从原始表格中读取数据,非主…

好难啊……一个 try-catch 问出这么多花样

作者 | 阿Q来源 | 阿Q说代码刚刚面试回来的B哥又在吐槽了:现在的面试官太难伺候了,放着好好的堆、栈、方法区不问,上来就让我从字节码角度给他分析一下try-catch-finally(以下简称TCF)的执行效率.....今天我们就来好好…

数据是如何被保护的?高质量存储告诉你

简介: 作为关键信息基础设施运营者,阿里云提供了全方位的数据安全保护方案。今天,我们就从数据存储的角度来聊一聊数据是如何被保护的。 原文链接 本文为阿里云原创内容,未经允许不得转载。

Nacos 开源、自研、商业化三位一体战略解读

简介: Nacos作为整个阿里云原生三位战略中的核心组成部分,我们在2018年以Configserver/VIPServer/Diamond为基础通过Nacos开源输出阿里十年沉淀的注册中心和配置中心能力,并且快速成为国内首选。并且通过云产品MSE以BaaS模式输出解决方案能力…

Haystack 太强了!存 2600 亿图片

作者 | 奇伢来源 | 奇伢云存储小文件存储小文件存储,老生常谈的问题。先聊聊小文件存储重点关注的是什么?以前我们提过,对于磁盘来说,小 io 吃 iops,大块 io 吃吞吐。划重点:小文件的重点是 io 次数。为什么…

全国计算机网络教学研讨会,历届全国高校计算机网络教学研讨会

1. 第六届全国高校计算机网络教学研讨会在内蒙古大学成功召开2. 第五届全国高校计算机网络教学研讨会在温州大学成功召开 2012年10月26日-27日,第五届全国高校计算机网络教学研讨会在温州大学召开。会议由中国计算机学会互联网专业委员会和中国计算机学会…

Dubbo 和 HSF 在阿里巴巴的实践:携手走向下一代云原生微服务

简介: HSF 和 Dubbo 的融合是大势所趋。为了能更好的服务内外用户,也为了两个框架更好发展,Dubbo 3.0 和以 Dubbo 3.0 为内核适配集团内基础架构生态的 HSF 3 应运而生。 作者 | 郭浩 Dubbo 和 HSF 都是阿里巴巴目前在使用的微服务 RPC 框架…

apache过滤恶意频繁访问_采用网关过滤器实现权限验证及对异常统一处理

采用网关过滤器实现权限验证1、创建 zuul 项目2、修改 pom.xml 文件<project xmlns"http://maven.apache.org/POM/4.0.0" xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation"http://maven.apache.org/POM/4.0.0 http://mav…

如何攻破容器持久化存储挑战?

背景 云原生趋势下&#xff0c;应用容器化比例正在快速增长&#xff0c;Kubernetes 也已成为云原生时代新的基础设施。 观察今天的容器和 Kubernetes 的应用现状&#xff0c;可以看到两个普遍的现象&#xff1a; 首先&#xff0c;在云上托管 Kubernetes 已经成为企业上云及运…

用科技共创美好:英特尔助力北京冬奥会新体验

2022年1月24日&#xff0c;北京2022年冬奥会在即&#xff0c;北京冬奥会的气氛愈发浓烈。作为奥运会全球TOP合作伙伴&#xff0c;英特尔以基于英特尔处理器的创新技术支持奥运会&#xff0c;释放科技冬奥的魅力。今天&#xff0c;英特尔在位于前门建成的全新升级的“英特尔北京…

职称计算机Word2003是考什么,2017年职称计算机考试word2003考点

2017年职称计算机考试word2003考点计算机在我们的工作中太重要了&#xff0c;很多工作岗位对计算机都有一定的要求。以下是小编整理的2017年职称计算机考试word2003考点&#xff0c;希望可以为您的学习带来帮助!内置段落样式1、套用段落样式&#xff1a;选中要套用样式的一个或…

李飞飞:新技术变革时代的数据库产业

简介&#xff1a; 云计算将改变数据库格局 近日&#xff0c;阿里云智能数据库事业部负责人李飞飞在媒体沟通会上发表了“新技术变革时代的数据库产业”主题演讲。 李飞飞说&#xff0c;云数据库已经成为数据库最重要的发展方向&#xff0c;从国际国内数据库产业的发展来看&am…

iostat命令详解_对iostat输出结果的理解

前言&#xff1a;日常工作中&#xff0c;线上服务会出现各种奇奇怪怪的问题&#xff0c;每次出现问题都是根据现象猜测出现问题的原因&#xff0c;比如请求响应慢了&#xff0c;就排查整个请求的逻辑&#xff0c;每一步花了多少时间&#xff0c;分析半天终于发现是某一步慢了以…