Mybatis中会引起sql注入风险的问题

该风险漏洞是我驻场的公司(ciccwm)在一次安全漏洞检查中提出,我在此作为引用,特此声明。

文章目录

  • 风险说明
  • Mybatis框架下易产生SQL注入漏洞场景:
    • (1)模糊查询like
    • (2)in之后的参数
    • (3)order by之后
  • 解决方案

风险说明

SQL 注入 (SQLi) 是一种注入攻击,可以执行恶意 SQL 语句。这些语句控制 Web 应用程序后面的数据库服务器。攻击者可以利用 SQL 注入漏洞绕过应用程序安全措施。他们可以绕过网页或 Web 应用程序的身份验证和授权,并检索整个 SQL 数据库的内容。他们还可以使用 SQL 注入来添加、修改和删除数据库中的记录。

在 SQL 注入攻击中,用户可以直接向数据库提交 SQL 查询,无需提供适当的凭据即可获得访问权限。然后攻击者可以查看、导出、修改和删除机密信息;更改密码和其他身份验证信息;并可能访问网络中的其他系统。这是最常被利用的漏洞类别之一,但可以通过良好的编码实践在很大程度上避免。

变量名称周围的 #字符表示 iBatis 将使用 userName变量创建参数化查询。但是,iBatis 还允许使用 $字符将变量直接连接到 SQL 指令,使其易受 SQL injection 攻击。

Mybatis框架下易产生SQL注入漏洞场景:

(1)模糊查询like

按照标题进行模糊查询,如果考虑安全编码规范问题,其对应的SQL语句如下:

Select * from news where title like%#{title}%’,

但由于这样写程序会报错,研发人员将SQL查询语句修改如下:

Select * from news where title like%${title}%’,

在这种情况下我们发现程序不再报错,但是此时将"#“替换成了”$"就会产生SQL语句拼接问题,如果java代码层面没有对用户输入的内容做处理势必会产生SQL注入漏洞。

(2)in之后的参数

在进行同条件多值查询的时候,如当用户输入1001,1002,1003…100N时,如果考虑安全编码规范问题,其对应的SQL语句如下

Select * from news where id in (#{id}),

但由于这样写程序会报错,研发人员将SQL查询语句修改如下:

Select * from news where id in (${id})

修改SQL语句之后,程序停止报错,但是却引入了SQL语句拼接的问题,如果研发人员没有对用户输入的内容做过滤,势必会产生SQL注入漏洞。

(3)order by之后

当根据时间、点击量等信息进行排序的时候,如果考虑安全编码规范问题,其对应的SQL语句如下:

Select * from news where title =‘京东’ order by #{time} asc,

但由于发布时间time不是用户输入的参数,无法使用预编译。研发人员将SQL查询语句修改如下:

Select * from news where title =‘京东’ order by ${time} asc

修改之后,程序通过预编译,但是产生了SQL语句拼接问题,极有可能引发SQL注入漏洞。

解决方案

主要解决方案参考如下:
1)避免将用户输入的参数直接传递给 SQL 服务器。
2)编码时,先定义SQL代码,再传入参数。将准备好的语句与参数化查询一起使用。
3)对所有参数使用强类型,以便拒绝意外的用户数据。
4)如果出于性能原因无法避免直接用户输入,请根据非常严格的允许字符列表验证输入,避免使用特殊字符,例如? & / < > ; -和空格。如果可能,建议使用供应商提供的转义例程。
5)使用可防止 SQL 注入的库。
6)围绕最小权限模型​​强化整个环境,理想情况下使用仅具有特定任务权限的隔离帐户。
7)MyBatis Mapper配置文件中的SQL语句中存在用户输入的字符串,且使用$字符将变量直接连接到SQL指令,而未使用安全的符号“#”进行参数化查询。

参考代码示例:
使用带“#”占位符的预编译执行方式的SQL语句,并且,所有非程序自身的数据都不参与SQL语句的构成。

<select id="getItems" parameterType="domain.company.MyParamClass" resultType ="MyResultMap">
	SELECT * FROM items
	WHERE owner = #{userName}
	AND itemname = #{itemName}
select>

针对like、in和order by三种注入场景,参考解决方案如下:
(1)模糊查询like SQL注入修复建议
按照标题进行模糊查询,可将SQL查询语句设计如下:

select* fromnews wheretile likeconcat(%,#{title}, ‘%’),
采用预编译机制,避免了SQL语句拼接的问题,从根源上防止了SQL注入漏洞的产生。

(2)in之后的参数SQL注入修复建议
在进行同条件多值查询的时候,可使用Mybatis自带循环指令解决SQL语句动态拼接的问题:

 <update id="updateRzrqState" parameterType="map">
    update web_rzrq_article set state= #{state},quit_time=NOW()
    where id  in
    <foreach item="id" collection="ids" open="(" close=")" separator=",">
      #{id}
    foreach>
  update>

(3)order by SQL注入修复建议–在Java层面做映射
预编译机制只能处理查询参数,其他地方还需要研发人员根据具体情况来解决。如前面提到的排序情景: Select * from news where title =‘京东’ order by #{time} asc,这里time不是查询参数,无法使用预编译机制,只能这样拼接:Select * from news where title =‘京东’ order by ${time} asc 。
针对这种情况研发人员可以在java层面做映射来进行解决。如当存在发布时间time和点击量click两种排序选择时,我们可以限制用户只能输入1和2。当用户输入1时,我们在代码层面将其映射为time,当用户输入2时,将其映射为click。而当用户输入1和2之外的其他内容时,我们可以将其转换为默认排序选择time(或者click)。

你可能感兴趣的:(mysql删库到跑路,mybatis,sql,数据库)