面試官問：Mybatis 框架下 SQL 注入攻擊的 3 種方式

點擊上方「Java面試進化論」，選擇「設爲星標」

回覆」666「獲取新整理的面試資料

本文受權轉載請註明來自FreeBuf.COM

連接：https://urlify.cn/MNNV3u

---

前言

SQL注入漏洞做爲WEB安全的最多見的漏洞之一，在java中隨着預編譯與各類ORM框架的使用，注入問題也愈來愈少。

新手代碼審計者每每對Java Web應用的多個框架組合而心生畏懼，不知如何下手，但願經過Mybatis框架使用不當致使的SQL注入問題爲例，可以拋磚引玉給新手一些思路。

1、Mybatis的SQL注入

Mybatis的SQL語句能夠基於註解的方式寫在類方法上面，更多的是以xml的方式寫到xml文件。

Mybatis中SQL語句須要咱們本身手動編寫或者用generator自動生成。編寫xml文件時，Mybatis支持兩種參數符號，一種是#，另外一種是$。好比：

<select id="queryAll"  resultMap="resultMap">  SELECT * FROM NEWS WHERE ID = #{id}</select>

使用預編譯，$使用拼接SQL。

Mybatis框架下易產生SQL注入漏洞的狀況主要分爲如下三種：

一、模糊查詢

Select * from news where title like ‘%#{title}%’

在這種狀況下使用#程序會報錯，新手程序員就把#號改爲了$,這樣若是java代碼層面沒有對用戶輸入的內容作處理勢必會產生SQL注入漏洞。

正確寫法：

select * from news where tile like concat(‘%’,#{title}, ‘%’)

二、in 以後的多個參數

in以後多個id查詢時使用# 一樣會報錯，

Select * from news where id in (#{ids})

正確用法爲使用foreach，而不是將#替換爲$

id in<foreach collection="ids" item="item" open="("separatosr="," close=")">#{ids} </foreach>

三、order by 以後

這種場景應當在Java層面作映射，設置一個字段/表名數組，僅容許用戶傳入索引值。這樣保證傳入的字段或者表名都在白名單裏面。須要注意的是在mybatis-generator自動生成的SQL語句中，order by使用的也是$，而like和in沒有問題。

2、實戰思路

咱們使用一個開源的cms來分析，java sql注入問題適合使用反推，先搜索xml查找可能存在注入的漏洞點→反推到DAO→再到實現類→再經過調用鏈找到前臺URL，找到利用點，話很少說走起

一、idea導入項目

Idea首頁 點擊Get from Version Control，輸入https://gitee.com/mingSoft/MCMS.git

下載完成，等待maven把項目下載完成

二、搜索$關鍵字

Ctrl+shift+F 調出Find in Path，篩選後綴xml，搜索$關鍵字

根據文件名帶Dao的xml爲咱們須要的，以IContentDao.xml爲例，雙擊打開，ctrl +F 搜索$,查找到16個前三個爲數據庫選擇，跳過，

繼續往下看到疑似order by 暫時擱置

繼續往下看發現多個普通拼接，此點更容易利用，咱們以此爲例深刻，只查找ids從前端哪裏傳入

三、搜索映射對象

Mybatis 的select id對應要映射的對象名，咱們以getSearchCount爲關鍵字搜索映射的對象

搜到了IContentDao.java,IContentDaoimpl.java和McmsAction.java，分別對應映射的對象，對象的實現類和前端controler，直接跳轉到controler類

發現只有categoryIds與目標參數ids類似，需進一步確認，返回到IContentDao.java按照標準流繼續反推

找到ids爲getSearchCount的最後一個參數，alt+f7查看調用鏈

調轉到ContentBizImpl，確認前臺參數爲categoryIds

返回到McmsAction，參數由BasicUtil.getString接收，

跟進BasicUtil.getString

繼續跳到SpringUtil.getRequest()，前端未作處理，sql注入實錘

四、漏洞確認

項目運行起來，構造sql語句http://localhost:8080/ms-mcms/mcms/search.do?categoryId=1%27)%20%20or+updatexml(1,concat(0x7e,(SELECT+%40%40version),0x7e),1)%23 獲得mysql的版本5.7.27，驗證注入存在。

3、總結

以上就是Mybatis的sql注入審計的基本方法，咱們沒有分析的幾個點也有問題，新手能夠嘗試分析一下不一樣的注入點來實操一遍，相信會有更多的收穫。當咱們再遇到相似問題時能夠考慮：

一、Mybatis框架下審計SQL注入，重點關注在三個方面like，in和order by

二、xml方式編寫sql時，能夠先篩選xml文件搜索$,逐個分析，要特別注意mybatis-generator的order by注入

三、Mybatis註解編寫sql時方法相似

四、java層面應該作好參數檢查，假定用戶輸入均爲惡意輸入，防範潛在的攻擊

- End -

推薦閱讀

1.  面試官問:Spring 爲啥默認把bean設計成單例的？

2.  危險！80％ 用戶正在考慮放棄 Oracle JDK…

3.  用17張 圖帶你看懂紅黑樹5大特性

加微信回覆"考試"便可獲取

SSM實現的開發視頻考試系統課程

小可愛萌在看嗎 

本文分享自微信公衆號 - Java面試進化論（AuditionEvolution）。
若有侵權，請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」，歡迎正在閱讀的你也加入，一塊兒分享。