前语

本文是 Java Web 工程源代码安全审计实战的第 2 部分，首要解说 WebGoat 工程的 SQL 注入源码审计思路和攻防演练。包含一般的 SQL 字符注入和 SQL 盲注两个事例，并扩展评论了 NoSQL 注入的审计思路。

图 1.WebGoat 源代码中存在多个 SQL 注入问题

回页首

Web 运用要挟之 SQL 注入

技能原理

SQL 注入过错发作的必要条件有两个，首要是程序运用来自不行信赖的数据源的数据，其次是程序中动态拼接字符串结构 SQL 查询句子。

例如以下代码，榜首句动态结构，第二句履行了一个 SQL 查询，搜索和指定用户名相匹配的用户数据条目。

String query = "SELECT * FROM user_data WHERE last_name = '" + accountName + "'";

ResultSet results = statement.executeQuery(query);

动态结构的查询句子拼接了用户输入的字符串 accountName。假如进犯者输入字符串"anyName' OR 'a'='a"，那么结构的查询句子就会变成：

SELECT * FROM user_data WHERE last_name = 'anyName' OR 'a'='a';

附加条件 OR 'a'='a' 使 WHERE 从句永真，逻辑上等同于：

SELECT * FROM user_data;

这样进犯者绕过用户名验证，查询成果能回来表格一切用户条目。

问题剖析之 SQL 字符注入 SqlStringInjection.java：101

源代码审计发现 SqlStringInjection.java 第 101 行 injectableQuery() 办法运用动态拼接字符串进行 SQL 查询。进犯者能够结构歹意字符串。本例中，完结一次完好的污染传达 source-path-sink 三过程如下：

图 2. 污染数据来自不行信赖的数据源 (Source)

图 3. 污染数据在程序体内部沿途径传达（Path）

上图来自 Fortify 剖析东西，赤色箭头指示传达途径，右紫色框代表 Source，左赤色框代表 Sink。

SqlStringInjection.java 第 101 行 injectableQuery() 办法，运用了来自不行信数据源的污染数据，代码片段如下：

图 4. 污染数据被用来结构 SQL 履行言语 (Sink)

进犯场景

在已布置的 WebGoat 工程，翻开出产环境，在左边导航目录下点选"Injection Flaws -> String SQL Inject", 在右侧页面文本框输入字符串"anyName' OR 'a'='a"，点击’Go’提交页面。

图 5.SQL 字符注入进犯场景

WebGoat 工程本例页面规划为服务器回来履行成果搜索内容，由浏览器改写页面显现表格。进犯者能够从页面越权直接获取后台数据库信息。实际工程中，即使浏览器不直接显现 SQL 注入查询的内容，进犯者也能够经过 SQL 盲注，猜想感兴趣的内容。这将鄙人一个审计事例中演示。

问题剖析之 SQL 盲注 BlindNumericSqlInjection.java：114

源代码静态扫描发现 BlindNumericSqlInjection.java 第 114 行 createContent() 办法运用动态拼接字符串进行 SQL 查询。进犯者能够结构歹意字符串。

本例中完结一次完好的污染传达 Source-Path-Sink 三过程。

首要 ParameterParser.java 第 615 行运用 getParameterValues() 从网页用户恳求 request 获取数据，代码片段：

图 6. 污染数据来自不行信赖的数据源 (Source)

ParameterParser.java 第 597 行运用 getRawParameter() 传达污染数据，代码段如下：

图 7. 传递污染数据

BlindNumericSqlInjection.java 第 80 行运用污染数据对 accountNumber 赋值，并用 accountNumber 拼接 query 字符串，代码段如下：

图 8. 拼接字符串代码片段

下图来自 Fortify 剖析东西，赤色箭头指示传达途径，右紫色框代表 Source，左赤色框代表 Sink。

图 9. 污染数据在程序体内部沿途径传达（Path）

[1] [2] [3]  黑客接单网