代码安全审计经验分享

文章预览

SQL注入 01 MyBatis框架中的注入漏洞 Mybatis框架支持的CURD功能可以直接搜索XML文件中的${和${}拼接的SQL语句，如果SQL的参数可控，就可能造成注入风险。 另外，有的SQL语句使用的是注解开发，把SQL语句可以直接写在了代理接口方法上方，审计的时候可以将两种情况都注意一下，或许有不同的发现。 安全的方式应该是使用#号接收参数，但很多时候如数据库表的字段名，又只能使用$符接收参数。白名单的方案是可以将数据库表的字段名维护为一个数组，再检查参数是否在数组内，经过拼接的payload就不能通过检查, 例如：对于排序，只用了到ASC、DESC中的一个，把这两做成白名单即可，SQL注入的payload不在这个名单中，在反序列化时就会被拦截。 02 JPA中的SQL注入 JPA受SpringBoot官方支持直接提供启动依赖，和MyBatis一样，JPA框架方便开发人员完成与数据库的各 ………………………………