简介
注入问题是安全中一个非常常见的问题,今天我们来探讨一下 java 中的 SQL 注入和 XML 注入的防范。
SQL 注入
什么是 SQL 注入呢?
SQL 注入的意思是,用户输入了某些参数,最终导致 SQL 的执行偏离了程序设计者的本意,从而导致越权或者其他类型的错误。
也就是说因为用户输入的原因,导致 SQL 的涵义发送了变化。
拿我们最常用的登录的 SQL 语句来说,我们可能会写下面的 SQL 语句:
select * from user where username='<username>' and password='<password>'
复制代码
我们需要用户传入 username 和 password。
怎么对这个 SQL 语句进行注入呢?
很简单,当用户的 username 输入是下面的情况时:
那么整个 SQL 语句将会变成:
select * from user where username='somebody' or '1'='1' and password='<password>'
复制代码
如果 somebody 是一个有效的用户,那么 or 后面的语言完全不会执行,最终导致不校验密码就返回了用户的信息。
同样的,恶意攻击者可以给 password 输入下面的内容可以得到同样的结果:
整个 SQL 解析为:
select * from user where username='somebody' and password='' or '1'='1'
复制代码
这条语句将会返回所有的用户信息,这样即使不知道确定存在的用户名也可以通过 SQL 语句的判断。
这就是 SQL 注入。
java 中的 SQL 注入
java 中最常用的就是通过 JDBC 来操作数据库,我们使用 JDBC 创建好连接之后,就可以执行 SQL 语句了。
下面我们看一个 java 中使用 JDBC SQL 注入的例子。
先创建一个通用的 JDBC 连接:
public Connection getConnection() throws ClassNotFoundException, SQLException { Connection con = null; Class.forName("com.mysql.jdbc.Driver"); System.out.println("数据库驱动加载成功"); con = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/mysql?characterEncoding=UTF-8", "root", ""); System.out.println("数据库连接成功"); return con; }
复制代码
然后再自己拼装 SQL 语句然后调用:
public void jdbcWithInjection(String username,char[] password) throws SQLException, ClassNotFoundException { Connection connection = getConnection(); if (connection == null) { // Handle error } try { String pwd = encodePassword(password);
String sqlString = "SELECT * FROM user WHERE username = '" + username + "' AND password = '" + pwd + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sqlString);
if (!rs.next()) { throw new SecurityException( "User name or password incorrect" ); } } finally { try { connection.close(); } catch (SQLException x) { } } }
复制代码
上面的例子中,只有 username 会发生注入,password 不会,因为我们使用了 encodePassword 方法对 password 进行了转换:
public String encodePassword(char[] password){ return Base64.getEncoder().encodeToString(new String(password).getBytes()); }
复制代码
使用 PreparedStatement
为了防止 SQL 注入,我们一般推荐的是使用 PreparedStatement,java.sql.PreparedStatement 可对输入参数进行转义,从而防止 SQL 注入。
注意,一定要正确的使用 PreparedStatement,如果是不正确的使用,同样会造成 SQL 注入的结果。
下面看一个不正确使用的例子:
String sqlString = "SELECT * FROM user WHERE username = '" + username + "' AND password = '" + pwd + "'"; PreparedStatement stmt = connection.prepareStatement(sqlString); ResultSet rs = stmt.executeQuery();
复制代码
上面的代码中,我们还是自己进行了 SQL 的拼装,虽然最后我们使用了 preparedStatement,但是没有达到效果。
正确使用的例子如下:
String sqlString = "select * from user where username=? and password=?"; PreparedStatement stmt = connection.prepareStatement(sqlString); stmt.setString(1, username); stmt.setString(2, pwd); ResultSet rs = stmt.executeQuery();
复制代码
我们需要将用户输入作为参数 set 到 PreparedStatement 中去,这样才会进行转义。
XML 中的 SQL 注入
可扩展标记语言(XML)旨在帮助存储,结构化和传输数据。 由于其平台独立性,灵活性和相对简单性,XML 已在许多应用程序中得到使用。 但是,由于 XML 的多功能性,它容易受到包括 XML 注入在内的各种攻击的攻击。
那么什么是 XML 注入呢?我们举个例子:
<item> <name>Iphone20</name> <price>5000.0</price> <quantity>1</quantity></item>
复制代码
上面的例子中,我们使用了 XML 定义了一个 iphone20 的价格和数量。一个 iphone20 5000 块。
上面的 XML 中,如果 quantity 是用户输入的数据的话,那么用户可以这样输入:
1</quantity><price>20.0</price><quantity>1
复制代码
最后得出的 XML 文件如下:
<item> <name>Iphone20</name> <price>5000.0</price> <quantity>1</quantity> <price>20.0</price><quantity>1</quantity></item>
复制代码
一般来说,我们在解析 XML 的过程中,如果发现有重复的 tag,那么后面的 tag 会覆盖前面的 tag。
结果就是 1 个 iphone20 现在的价格是 20 块,非常划算。
XML 注入的 java 代码
我们看下 XML 的注入在 java 代码中是怎么实现的:
public String createXMLInjection(String quantity){ String xmlString = "<item>\n<name>Iphone20</name>\n" + "<price>5000.0</price>\n" + "<quantity>" + quantity + "</quantity></item>"; return xmlString; }
复制代码
可以看到我们直接使用用户输入的 quantity 作为 XML 的拼接,这样做很明显是有问题的。
怎么解决呢?有两种方法。
第一种方法就是对用户输入的 quantity 进行校验:
public String createXML(String quantity){ int count = Integer.parseUnsignedInt(quantity); String xmlString = "<item>\n<name>Iphone20</name>\n" + "<price>5000.0</price>\n" + "<quantity>" + count + "</quantity></item>"; return xmlString; }
复制代码
上面代码中,我们对 quantity 进行了 Integer 的转换,从而避免了用户的非法输入。
第二种方法是使用 XML Schema,来对生成的 XML 进行格式校验。
先看一下我们改怎么定义这个 XML Schema:
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema"><xs:element name="item"> <xs:complexType> <xs:sequence> <xs:element name="name" type="xs:string"/> <xs:element name="price" type="xs:decimal"/> <xs:element name="quantity" type="xs:nonNegativeInteger"/> </xs:sequence> </xs:complexType></xs:element></xs:schema>
复制代码
上面我们定义了一个 XML element 的序列 sequence。如果用户输入了非定义格式的其他 XML,就会报错。
我们看下相对应的 java 代码该怎么写:
StreamSource ss = new StreamSource(new File("schema.xsd")); Schema schema = sf.newSchema(ss); SAXParserFactory spf = SAXParserFactory.newInstance(); spf.setSchema(schema); SAXParser saxParser = spf.newSAXParser(); XMLReader reader = saxParser.getXMLReader(); reader.setContentHandler(defHandler); reader.parse(xmlStream);
复制代码
上面我们列出了 XML 验证的代码,完整的代码可以参考文末的代码链接,这里就不一一贴出来了。
本文的代码:
learn-java-base-9-to-20/tree/master/security
本文已收录于 http://www.flydean.com/java-security-code-line-injection/
最通俗的解读,最深刻的干货,最简洁的教程,众多你不知道的小技巧等你来发现!
欢迎关注我的公众号:「程序那些事」,懂技术,更懂你!
评论