java_sec_code

该项目也可以叫做Java Vulnerability Code(Java漏洞代码)。

每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里。具体可查看每个漏洞代码和注释。

由于服务器到期,在线的Demo网站已不能使用。

登录用户名密码:

admin/admin123

joychou/joychou123

写这个呢是因为我在前面学java的基础漏洞审计的时候,我自己在Typora中的笔记因为图床的问题,做的笔记截图全部都不见了,所以前面的笔记就作废了,然后在做这个项目的漏洞的时候再网上没有找到完整的做题笔记,我就想着自己也做嘛就写一个笔记下来记录自己的java学习过程

项目地址JoyChou93/java-sec-code: Java web common vulnerabilities and security code which is base on springboot and spring security (github.com)

sql

less-1

@RequestMapping("/jdbc/vuln")

    public String jdbc_sqli_vul(@RequestParam("username") String username) {

        StringBuilder result = new StringBuilder();

        try {

            Class.forName(driver);

            Connection con = DriverManager.getConnection(url, user, password);

            if (!con.isClosed())

                System.out.println("Connect to database successfully.");

            // sqli vuln code

            Statement statement = con.createStatement();

            String sql = "select * from users where username = '" + username + "'";

            logger.info(sql);

            ResultSet rs = statement.executeQuery(sql);

            while (rs.next()) {

                String res_name = rs.getString("username");

                String res_pwd = rs.getString("password");

                String info = String.format("%s: %s\n", res_name, res_pwd);

                result.append(info);

                logger.info(info);

            }

            rs.close();

            con.close();

        } catch (ClassNotFoundException e) {

            logger.error("Sorry,can`t find the Driver!");

        } catch (SQLException e) {

            logger.error(e.toString());

        }

        return result.toString();

    }

第一关是一个很基础的sql注入漏洞就是

String sql = "select * from users where username = '" + username + "'";

            logger.info(sql);

            ResultSet rs = statement.executeQuery(sql);

这一段代码,就是基础的就是一个正常数数据库拼接,然后我的数据库里面有admin这个用户直接拼接上去是这样的效果

闭合语句

" + username + "====admin' union select 1,version(),user()--+

还是很简单就简单说一下,从字符串中的'admin' union select 1,2,3--+

修复方式:预编译修复

            String sql = "select * from users where username = ?";

            PreparedStatement st = con.prepareStatement(sql);

            st.setString(1, username);

less-2

@GetMapping("/mybatis/vuln01")

    public List<User> mybatisVuln01(@RequestParam("username") String username) {

        return userMapper.findByUserNameVuln01(username);

    }

mybatis注入,这是一个存在注入语句的

这里可以直接看出来它是一个通过username这个字段去寻找参数值的,但是数据库查询肯定会存在sql语句的执行不可能不存在,这个时候我们追究其原理

直接追踪找到接口

@Select("select * from users where username = '${username}'")

    List<User> findByUserNameVuln01(@Param("username") String username);

我们发现它是用的$符号去活得参数值,这种方式的话是注解配置方案是springboot和spring里面常见的配置方式

Mybatis获取值的方式有两种,分别是${}#{}。这是关于用ssm组合写的框架会存在的sql注入

动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。

    在下面的语句中,如果 username 的值为 zhangsan,则两种方式无任何区别:

           select * from user where name = #{name};

           select * from user where name = ${name};

    其解析之后的结果均为

           select * from user where name = 'zhangsan';

  但是 #{} 和 ${} 在预编译中的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:

select * from user where name = ?;

而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成

    select * from user where name = 'zhangsan';

以上,#{} 的参数替换是发生在 DBMS 中,而 ${} 则发生在动态解析过程中。


#{}:解析的是占位符问号,可以防止SQL注入,使用了预编译。

${}:直接获取值

还是拼接就i行了

admin' union select 1,@@version,3 --+

修复方案就是用#{},不要使用${}

less-3

# 是通过prepareStatement的预编译的,会对自动传入的数据加一个单引号。

如:order by #{orderBy},如果传入的时间是 ,则会被解析为 order by ‘update_time’ (这样排序是无效的,这也是为什么不能用#号传参的原因)。

@GetMapping("/mybatis/vuln02")

    public List<User> mybatisVuln02(@RequestParam("username") String username) {

        return userMapper.findByUserNameVuln02(username);

    }

还是老规矩先追下去看

发现没有方法再想一想往上看一看发现一个注解@Mapper注解这个注解的意思就是它有一个映射文件反手翻一翻

然后就发现了这个select语句

<select id="findByUserNameVuln02" parameterType="String" resultMap="User">

        select * from users where username like '%${_parameter}%'

    </select>

追到后面发现一个like,like是模糊查询的意思

简单的插播一下like注入的原理

 like查询时,如果用户输入的值有"_"和"%",则会出现这种情况:用户本来只是想查询"abcd_",查询结果中却有"abcd_"、"abcde"、"abcdf"等等;用户要查询"30%"(注:百分之三十)时也会出现问题。

 然后:_parameter是Mybatis的内置参数,代表整个参数

 我们还是直接拼接就可以了

http://localhost:8080/sqli/mybatis/vuln02?username=admin' union select 1,2,3 --+

考点

  • 通过配置文件的映射直接追踪过来是没有select语句的

less-4

@GetMapping("/mybatis/orderby/vuln03")

    public List<User> mybatisVuln03(@RequestParam("sort") String sort) {

        return userMapper.findByUserNameVuln03(sort);

    }

传入的值变了是个sort,sort是短的,还是追踪sql源码来看看

<select id="findByUserNameVuln03" parameterType="String" resultMap="User">

        select * from users

        <if test="order != null">

            order by ${order} asc

        </if>

    </select>

看到了是order by 然后后面有asc代表的是升序排布,desc是降序排布因为是

拼接语句选择用updataxml吧直接and拼接起来就实现了

**http://localhost:8080/sqli/mybatis/orderby/vuln03?sort=id and (updatexml(1,concat(0x7e,(select version()),0x7e),1))  #

报错语句中就会看到

Java代码审计sql注入的更多相关文章

  1. Java防止SQL注入的几个途径

    java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用 PreparedStatement来代替Statement来执行SQL语句,其 ...

  2. Java防止SQL注入2(通过filter过滤器功能进行拦截)

    首先说明一点,这个过滤器拦截其实是不靠谱的,比如说我的一篇文章是介绍sql注入的,或者评论的内容是有关sql的,那会过滤掉:且如果每个页面都经过这个过滤器,那么效率也是非常低的. 如果是要SQL注入拦 ...

  3. Java防止SQL注入(转)

    一.SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库. 二.SQL注入攻击的总体 ...

  4. java web sql注入测试(1)---概念概述

    在进行java web 测试时,经常会忽略的测试种类就是sql注入测试,这类缺陷造成的原因是开发技术在这方面欠缺的表现,虽然不常见,但一旦有这类缺陷,就很因此对运营的数据造成很多不必要的损失,所以,还 ...

  5. java 防止sql注入的方法(非原创)

      一.SQL注入简介       SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库. 二.SQ ...

  6. Java 防SQL注入过滤器(拦截器)代码

    原文出自:https://blog.csdn.net/seesun2012 前言 浅谈SQL注入:        所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符 ...

  7. Java防止SQL注入的途径介绍

    为了防止SQL注入,最简洁的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只 ...

  8. java web sql注入测试(4)--如何防止该类缺陷发生

    检查用户输入的合法性,确信输入的内容只包含合法的数据,数据检查应当在客户端和服务器端都执行之所以要执行服务器端验证,是为了弥补客户端验证机制脆弱的安全性.在客户端,攻击者完全有可能获得网页的源代码,修 ...

  9. java web sql注入测试(3)---现象分析

    那为什么出现以上问题呢?这是程序代码层控制不当导致的.如果web前端对输入数据控制严格,会对数据库进行操作的字符串,在客户端做敏感字符转义处理,或者在操作数据库的dao层,使用动态参数的sql,不使用 ...

随机推荐

  1. 【SwiftUI】学习笔记1-创建第一个iOS应用

    本系列将会开发大量实际的项目. 系列为本人学习笔记,资料:<SwiftUI自学成长笔记>-刘铭 资源源代码下载资源:可以在gitee上下载,搜索刘铭即可. 第一章:创建项目 也可以在菜单栏 ...

  2. Python入门系列(一)安装环境

    python是什么 python是一门很受欢迎的语言,除了不能生孩子以外,其它都可以做. 它擅长的领域是脚本工具和科学数据这一块,比如大数据,数据分析什么的. python安装 为了演示和验证教程可用 ...

  3. KingbaseES R6集群归档备份故障分析解决案例

    案例说明: 在使用ps工具查看主库进程,发现主库'archiver'进程失败,检查sys_log日志可以发现归档失败的信息.通过sys_log日志提取归档语句手工执行归档操作,提示"当前数据 ...

  4. KingbaseES 如何把一个schema下的所有对象访问权限授权给其他用户

    用户需求:新建一个用户 B,需要能够查询A用户的所有表,并且对以后新建的表也要有select权限. 问题分析:对于现有的表可以通过动态sql批量进行授权,但是未来新建的表要如何进行授权呢? 查询了帮助 ...

  5. Python 第四次实验

    1.(程序设计)定义函数def GetRandomChar(),返回一个随机的数字或大写或小写字母,每个符号出现的机会相等.调用该函数8次,生成并输出一个8位的验证码.用户输入该验证码,如果验证码正确 ...

  6. OKR之剑(理念篇)01—— OKR带给我们的改变

    作者:vivo互联网平台产品研发团队 一.前言 OKR即目标与关键成果法,起源于英特尔,在谷歌发扬光大.近几年在国内比较火,很多企业都相继引入了OKR的管理方式,小到2-3人的小微初创公司,大到十几万 ...

  7. Windows 11 新材质 Mica Alt 效果展示

    本文是 WinUI 3 踩坑记 的一部分,该系列发布于 GitHub@Scighost/WinUI3Keng,若内容出现冲突以 GitHub 上的为准. 微软在 2022-09-02 更新了官方文档, ...

  8. 我的Vue之旅、04 CSS媒体查询完全指南(Media Quires)

    什么是SCSS Sass: Sass Basics (sass-lang.com) SCSS 是 CSS 的预处理器,它比常规 CSS 更强大. 可以嵌套选择器,更好维护.管理代码. 可以将各种值存储 ...

  9. Go工程化 - 依赖注入

    我们在微服务框架kratos v2的默认项目模板中kratos-layout使用了google/wire进行依赖注入,也建议开发者在维护项目时使用该工具. wire 乍看起来比较违反直觉,导致很多同学 ...

  10. catalina.out日志割接

    文章转载自:https://blog.51cto.com/loong576/2091460 Tomcat的catalina.out日志分割有多种方式,如logrotate.cronolog等,本文采用 ...