Java代码审计连载之—SQL注入

忘是亡心i 2022-03-30 13:44 224阅读 0赞

前言  
近日闲来无事，快两年都没怎么写代码了，打算写几行代码，做代码审计一年了，每天看代码都好几万行，突然发现自己都不会写代码了，真是很DT。想当初入门代码审计的时候真是非常难，网上几乎找不到什么java审计的资料，摸索了很长时间，搜到的也仅仅讲了点原理，为了给想学java代码审计的朋友门一点入门资料，就开始写《**[java代码审计连载][java]**》系列文章，本文章适合初学者，大牛留下脚印后请绕过，若代码有什么其他问题请忽略，因为那不是重点，此片只讲述SQL注入。本次写了两个简单的页面，一个登陆页面，一个查询id界面，如下：  
![755816_7wq0ood55pcqqt7.png][]

![755816_mp6g4pulo5a983g.png][]废话不多说，开始！  
**SQL注入原理**  
先看下百度百科对SQL注入的介绍：  
所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在[**Web表单**][java]中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。

**SQL注入的表现形式**  
原理说的很正式，但是对初学者来说很笼统，对代码审计的来说也是不怎么明白。你那么总结起来，SQL注入在代码中体现的有以下3点：  
1、传递的参数为用户可控；  
什么叫参数为用户可控？其实前端传入的一切参数均为用户可控，包括：  
![755816_2w4ro1y4a9t40n5.png][]

这里的一切数据，参数传入后台后，接收的形式是什么样的呢？代码如下

[![755816_536uwq4f70u34ex.png][]][755816_536uwq4f70u34ex.png 1]  
request.getParameter("searchWord")是从前端获取参数的一种方式（当然还有其他方式，此处不赘述），而从前端获取的参数名为“searchWord”，也就是此处jsp页面中input标签中的id为**[“searchWord”][searchWord]**的值，如下：  
[![755816_rc4tr8n1s7nz5e5.png][]][755816_rc4tr8n1s7nz5e5.png 1]  
因此**[“searchWord”][java]**就是前端我们输入的“id”值。  
  
2.系统未对传入后台的参数做任何特殊字符过滤，或者字符过滤不全。  
什么是特殊字符，对SQL注入而言，特殊字符包括（注意大小写）：  
\--,\#,//(注释符)  
and  
or  
select  
update  
delete  
drop  
declare  
insert  
xp\_shell  
（，）括号  
 ||,+, （空格） 连接符  
 ' 单引号  
|（竖线符号）  
 & （& 符号）  
;（分号）  
$（美元符号）  
%（百分比符号）  
 @（at 符号）  
'（单引号）  
"（引号）  
\\'（反斜杠转义单引号）  
\\"（反斜杠转义引号）  
<>（尖括号）  
CR（回车符，ASCII 0x0d）  
LF（换行，ASCII 0x0a）  
,（逗号）  
\\（反斜杠）  
  
3、SQL语句是以拼接的形式执行，代码如下所示：  
[![755816_t5bsscz347ehqwv.png][]][755816_t5bsscz347ehqwv.png 1]

SQL语句一旦以拼接的方式执行，就表示拼接的参数“word”是表示一个SQL语句，而不仅仅是作为一个参数执行，什么意思呢？详细如下：  
如果word的值为1，那么SQL语句变成：  
Select \* from test where id = 1  
如果word的值为1’ and ‘a’=’a，那么SQL语句变成：  
Select \* from test where id = 1’ and ‘a’=’a

最后在数据库中执行的时候就是  
![755816_cimeypzbk3xc2ea.png][]

想必大牛们都明白这一点，就不赘述了。  
以上3点就是造成SQL注入产生的根本原因。

**SQL页面展示**  
下面贴上SQL注入漏洞页面：  
搜索框输入：1  
![755816_3ty4h6bfek7bnvm.png][]

查看执行结果：  
[![755816_60g22a2gepowj6v.png][]][755816_60g22a2gepowj6v.png 1]  
搜索框输入：1’  
查看执行结果：  
![755816_150o5wcqbu2ni5v.png][]搜索框输入：1’ and ‘a’=’a  
查看执行结果：  
[![755816_6byjl41wgj93e67.png][]][755816_6byjl41wgj93e67.png 1]  
  
尝试爆出数据库长度（过程忽略）：  
  
[![755816_npsd9njo2v8migo.png][]][755816_npsd9njo2v8migo.png 1]  
![755816_zgfqeb6t2tr9li4.png][]表示数据库长度为：8  
顺便贴上SqlMap截图：  
  
[![755816_sxsyx26q6ixrjfh.png][]][755816_sxsyx26q6ixrjfh.png 1]  
[![755816_dz0zpjtw2s2786x.png][]][755816_dz0zpjtw2s2786x.png 1]  
剩下的不深入，你们比我懂。

** **

**SQL注入的修复**  
SQL注入在java代码中的修复其实也是非常简单，主要有两个方式：  
1、添加全局过滤器，过滤特殊字符；方式如下：  
Web.xml:  
[![755816_8ibrzxkyfc5jf3u.png][]][755816_8ibrzxkyfc5jf3u.png 1]  
SQLFilter.java中：  
[![755816_4o8yez9vtd5c6hy.png][]][755816_4o8yez9vtd5c6hy.png 1]  
  
2.SQL语句使用参数化查询方式，代码如下：  
[![755816_7px8iyzdxgs3ih3.png][]][755816_7px8iyzdxgs3ih3.png 1]  
使用参数化查询才是SQL注入最根本的修复方式。  
修复后SqlMap截图：  
  
[![755816_utxpsh48ryf5kc9.png][]][755816_utxpsh48ryf5kc9.png 1]

** **

**结论：**  
本篇文章没有多少技术含量，希望对安全开发人员和学习代码审计人员有一点可取之处。本《java代码审计连载篇》会继续编写，希望大家多多支持，若有错误和不足之处，请指出来，谢谢！

[java]: https://bbs.ichunqiu.com/thread-22170-1-1.html?from=bkyl
[755816_7wq0ood55pcqqt7.png]: /images/20220330/93121aee9e3b401ca8ae7277dd3ee26a.png
[755816_mp6g4pulo5a983g.png]: /images/20220330/4bbb937b73f2464abe4dcd2d63452ca6.png
[755816_2w4ro1y4a9t40n5.png]: /images/20220330/b30adaab0dae407390e9f97eee0a8ccb.png
[755816_536uwq4f70u34ex.png]: /images/20220330/584481f033ee45c2a501dd9b4051511a.png
[755816_536uwq4f70u34ex.png 1]: http://upload/attach/201708/755816_536uwq4f70u34ex.png
[searchWord]: https://bbs.ichunqiu.com/thread-22170-1-1.html?from=kx
[755816_rc4tr8n1s7nz5e5.png]: /images/20220330/3266aa0fedaf47fbb6d05761049bbe3a.png
[755816_rc4tr8n1s7nz5e5.png 1]: http://upload/attach/201708/755816_rc4tr8n1s7nz5e5.png
[755816_t5bsscz347ehqwv.png]: /images/20220330/066f04b1527c45258bff78d84996f692.png
[755816_t5bsscz347ehqwv.png 1]: http://upload/attach/201708/755816_t5bsscz347ehqwv.png
[755816_cimeypzbk3xc2ea.png]: /images/20220330/a9a52b87a135453e975e98998c38dda4.png
[755816_3ty4h6bfek7bnvm.png]: /images/20220330/1af2ed9109b540869845e5a7c0c50ef0.png
[755816_60g22a2gepowj6v.png]: /images/20220330/64ec62cb81d340fc8f228a0d6e31d0bf.png
[755816_60g22a2gepowj6v.png 1]: http://upload/attach/201708/755816_60g22a2gepowj6v.png
[755816_150o5wcqbu2ni5v.png]: /images/20220330/18fa89e532b34809bdbfdb191a3efd45.png
[755816_6byjl41wgj93e67.png]: /images/20220330/32998aac0aec4ad1a1bf4a555be18975.png
[755816_6byjl41wgj93e67.png 1]: http://upload/attach/201708/755816_6byjl41wgj93e67.png
[755816_npsd9njo2v8migo.png]: /images/20220330/a103e5953a8b4bde8e086fa648d74090.png
[755816_npsd9njo2v8migo.png 1]: http://upload/attach/201708/755816_npsd9njo2v8migo.png
[755816_zgfqeb6t2tr9li4.png]: /images/20220330/c02ed8655bf143d2be2a31e3e114c661.png
[755816_sxsyx26q6ixrjfh.png]: /images/20220330/13359bc4bda14da98bdd0b8515295b27.png
[755816_sxsyx26q6ixrjfh.png 1]: http://upload/attach/201708/755816_sxsyx26q6ixrjfh.png
[755816_dz0zpjtw2s2786x.png]: /images/20220330/4b90534441264112b08b18bacaa62c60.png
[755816_dz0zpjtw2s2786x.png 1]: http://upload/attach/201708/755816_dz0zpjtw2s2786x.png
[755816_8ibrzxkyfc5jf3u.png]: /images/20220330/f6621d8a99664def887da87bb0b8072a.png
[755816_8ibrzxkyfc5jf3u.png 1]: http://upload/attach/201708/755816_8ibrzxkyfc5jf3u.png
[755816_4o8yez9vtd5c6hy.png]: /images/20220330/4eb08b5855e34fb998fa45845eac0b79.png
[755816_4o8yez9vtd5c6hy.png 1]: http://upload/attach/201708/755816_4o8yez9vtd5c6hy.png
[755816_7px8iyzdxgs3ih3.png]: /images/20220330/c31e306f37ac47dd8e17344c83014c00.png
[755816_7px8iyzdxgs3ih3.png 1]: http://upload/attach/201708/755816_7px8iyzdxgs3ih3.png
[755816_utxpsh48ryf5kc9.png]: /images/20220330/0f8c814186244ada849db226646a3dba.png
[755816_utxpsh48ryf5kc9.png 1]: http://upload/attach/201708/755816_utxpsh48ryf5kc9.png