Mybatis框架下易产生SQL注入漏洞的场景和修复方法
一、Mybatis框架下易产生SQL注入漏洞的场景
在基于Mybatis框架的Java白盒代码审计工作中,通常将着手点定位在Mybatis的配置文件中。通过查看这些与数据库交互的配置文件来确定SQL语句中是否存在拼接情况,进而确立跟踪点。
通过总结,Mybatis框架下易产生SQL注入漏洞的情况有以下三种:
1. 模糊查询 like
以新闻详情页面为例,按照新闻标题对新闻进行模糊查询,如果考虑安全编码规范问题,其对应的SQL语句如下:
select * from `news` where `title` like ‘%#{title}%‘
但这样写是不对的,于是研发人员将SQL语句修改为:
select * from `news` where `title` like ‘%${title}%‘
这种情况程序不再报错,但是此时产生了SQL语句拼接问题,容易产生SQL注入漏洞。
2. 多值查询 in
对新闻进行同条件多值查询的时候,用户输入 1001,1002,1003 时,如果考虑安全编码规范,对应的SQL语句为:
select * from `news` where `id` in (#{id})
这样的SQL语句虽然能执行但得不到预期结果,于是研发人员将SQL语句修改为:
select * from `news` where `id` in (${id})
修改SQL语句之后达到了预期效果,但却引入了SQL语句拼接的问题。
3. order by 之后
根据时间、点击量等进行排序时,如果考虑安全编码规范问题,SQL语句为:
select * from `news` where `title`=‘iphone‘ order by #{time} asc
由于 time 不是查询参数无法使用预编译,SQL语句虽然执行了但得不到预期结果,于是研发人员将SQL语句修改为:
select * from `news` where `title`=‘iphone‘ order by ${time} asc
修改之后虽然成功得到预期结果,但产生了SQL语句拼接问题,极有可能引发SQL注入漏洞。
二、修复方法
1. 模糊查询 like
按照标题进行模糊查询,可将SQL语句设计如下:
select * from `news` where `tile` like concat(‘%‘, #{title}, ‘%‘)
采用预编译避免了SQL语句拼接的问题,从根源上防止SQL注入漏洞。
2. 多值查询 in
对新闻进行多值查询时,可使用Mybatis自带的循环指令解决SQL语句动态拼接的问题:
select * from `news` where `id` in <foreach collection="ids" item="item" open="(" separator="," close=")">#{item}</foreach>
3. order by 之后
预编译机制只能处理查询参数,其他地方还需要研发人员根据具体情况来解决。例如 order by 排序查询:
select * from `news` where `title`=‘iphone‘ order by #{time} asc
这里 time 不是查询参数,无法使用预编译机制,只能拼接SQL语句:
select * from `news` where `title`=‘iphone‘ order by ${time} asc
这种情况下研发人员可以在java层面做映射来解决。例如:当排序字段为时间(time)或点击量(click)时,我们可以限制用户只能输入 1 或 2。
当输入 1 时,我们在代码层用 switch 语句将其映射为 time,当输入 2 时,将其映射为 click。输入其他内容时将其转换为默认排序字段 time。这样就能避免SQL注入漏洞。
参考链接
https://mp.weixin.qq.com/s?src=3×tamp=1591321089&ver=1&signature=aort5C46VjBc1nw781Wc8WUSE8n3ErlNwWwH94BBZVSJ--3bdFc5yDWx2qD0Bs-ydAPLNqAcH01Jkncw28TLJxymWKhZAnRucnkLZHRkiQZAA89cHB0QJBKJt2TE5JCD2nrrP5MHKAtrHbMg49zhxzLGtAJhktLtQsruVERIJa0=