博主介绍
博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
点赞➕评论➕收藏 == 养成习惯(一键三连)
欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋
作者水平有限,欢迎各位大佬指点,相互学习进步!
是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程 序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以 此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
使用某些手段,在原来的SQL语句基础上,添加了一段SQL并执行。从而达到某一些不 被管理员允许的目的。
一般使用SQL注入,主要是拿数据库里面的数据,所以会导致数据泄露。
现在使用的最多也最有效的就是预编译功能防止SQL注入。
前面我们提交到了SQL注入会造成数据泄露,那他会泄露些什么,又是怎么泄露的呢,我们慢慢往下看。
这里我搭建了一个环境存在SQL注入的环境。由于重点是代码审计,建议大家搭建环境自己操作一遍。
源代码下载链接:https://download.csdn.net/download/qq_51577576/87346584
Eclipse下载链接:https://download.csdn.net/download/qq_51577576/87346579
Tomcat下载链接:https://download.csdn.net/download/qq_51577576/87346570
使用 fortify 扫描,发现源代码中存在一个SQL注入.
打开登录页面,简单看一下他的登录逻辑
1、输入正确账号密码,跳转到图书信息列表页面
2、输入错误密码提示,用户名或者密码错误
这里我们输入一个万能密码试一下
' or 1=1 #
点击登录发现登录成功,怎么登陆页面存在SQL注入
白盒就是看源代码
2、我们尝试找一下这个login。
3、因为这是页面上的请求,所以我们需要去找servlet,应该在servlet的controller里面。
1、我们在LoginServlet里面找到了这个login。
2、我们查看这个LoginServlet代码,发现首先拿到了用户名和密码,然后调用了service层的login方法。
3、那么接下来我们就需要去寻找service层的login方法。
我们找到service层的login方法,发现这个login方法没有啥操作,直接调用了dao层的login方法,那接下来我们就需要去dao层。
我们发现这个daoc层的login方法采用了JDBC连接数据库的方法去连接数据库。
它执行的SQL语句是:
SELECT * from userinfo WHERE userName= '"+uname+" 'and userPass= '"+upass+"'
其实就是拿着这个用户名密码到schooldb里面userinfo表去进行匹配。
匹配的上就跳转,匹配不上就提示错误(LoginServlet执行)。大概就是这么一个逻辑。
我们来详细的看一下这个SQL语句,为什么输入正确的密码能登陆成功,为什么输入错误密码登陆不成功,为什么输入万能密码登陆成功。
SELECT * from userinfo WHERE userName= '"+uname+" 'and userPass= '"+upass+"'
根据SQL语句的逻辑,其实输入正确账号密码之后执行的SQL语句就是下面这个。账号密码都是admin。
SELECT * from userinfo WHERE userName= 'admin'and userPass= 'admin'
我们在数据库里面执行以下这条SQL语句。
发现找到一条 admin:admin 的数据,能查到结果,证明在 dao 层 login 方法进行匹配时匹配成功了,所以在 LoginServlet 方法种进行了跳转,所以登录成功。
那么输入错误的账号密码就是在数据库种找不到输入的账号密码,就是是在dao层login方法种匹配不成功,也就会在 LoginServlet 种进行错误提示,也就登录不成功。
同样的,我们看输入万能密码之后的SQL语句如下。
SELECT * from userinfo WHERE userName= ' 'or 1=1 #'and userPass= 'admin'
发现也能查到结果,所以也能登录成功
'or 1=1 #
'先闭合前面的,or 1=1恒成立,一定是真,所以它会查询所有的账号密码,#注释后面的内容,后面的内容不会执行。
我们就可以执行任意恶意的SQL语句,去获取数据库中的数据。
SELECT DATABASE();
SELECT SCHEMA_NAME FROM information_schema.SCHEMATA;
SELECT * from information_schema.`TABLES` WHERE TABLE_SCHEMA='schooldb'
SELECT * from information_schema.`COLUMNS` WHERE TABLE_SCHEMA='schooldb' and TABLE_NAME ='userinfo'
SELECT userID,userName,userPass from userinfo
SELECT DATABASE();
SELECT * from userinfo WHERE userName= '' union SELECT 1,DATABASE(),2 # and userPass= ''
SELECT * from information_schema.`TABLES` WHERE TABLE_SCHEMA='schooldb'
SELECT * from userinfo WHERE userName= '' union SELECT 1,GROUP_CONCAT(table_Name),2 from information_schema.`TABLES` WHERE TABLE_SCHEMA='schooldb' # and userPass= ''
SELECT * from information_schema.`COLUMNS` WHERE TABLE_SCHEMA='schooldb' and TABLE_NAME ='userinfo'
SELECT * from userinfo WHERE userName= '' union SELECT 1,GROUP_CONCAT(column_name) ,2 from information_schema.`COLUMNS` WHERE TABLE_SCHEMA='schooldb' and TABLE_NAME ='userinfo' #and userPass= ''
SELECT userID,userName,userPass from userinfo
SELECT * from userinfo WHERE userName= '' union SELECT userID,userName,userpass FROM userinfo #and userPass= ''
这里我们采用的是JDBC自带的预编译功能呢。这里只展示修复过程,详解看下一个部分。
String sql="SELECT * from userinfo WHERE userName= ? and userPass= ?";
PreparedStatement ps=conn.prepareStatement(sql);
ps.setString(1, uname);
ps.setString(2, upass);
同样的输入注入语句,提示用户名或密码错误
1、预编译
2、内容过滤
3、引号转义(转义)
4、错误信息(报错注入)
5、数据库权限(严格的权限控制,你只能干什么)
6、数据加密(拿到数据解不了密)
7、应用防火墙(WAF)
SQL注入到底是怎么发生的,为什么他能拼接我的SQL注入,以及在代码层次如何防御
变量和SQL语句通过+连接,这个uname可以是任何的字符串,当然也可以是SQL语句,我们怎么解决这个问题呢
在处理SQL语句的时候我们不能使用Statement这个对象,这个对象会原封不动的执行SQL语句
而要使用PreparedStatement这个对象,他会预编译之后才去执行
SELECT * from userinfo WHERE userName= '?'and userPass= '?'
不管你传进来的什么值我一直把你当字符串,就直接限定了这么查询,以及两个变量值
Statment不能防止sql注入
“+”号直接拼接参数(要溯源对参数进行过滤)
PreparedStatement预处理
不正确写法
预处理遇到like—正确处理方法
不正确写法
正确写法
先把数字变成字符串数组,在变成一个个的?
在实际开发中很少用到这种JDBC的代码,更多的会使用JDBC的代码,向Mybatis就是很常见的,这次先讲这个,下次将一个maven的项目。
${}直接拼接,存在漏洞
#{} 预编译
Mysql:
select * from t_user where name like concat('%', #{name}, '%')
Oracle:
select * from t_user where name like '%' | | #{name} | | '%'
Sql Server:
select * from t_user where name like '%' + #{name} + '%'
<if test="paramBrands != null" >•and brand.brand_id in <foreach collection="paramBrands" item="perBrand" open="(" close=")" separator=","> # {perBrand.brandId}
1、源代码下载链接
2、Eclipse下载链接
3、Tomcat下载链接
4、[ 代码审计篇 ] Fortify 安装及使用详解(一)
5、DBeaver数据库下载