覆盖检查sql注入类失败

Blade 未结 2 297
vince
vince 2024-07-30 15:30

一、该问题的重现步骤是什么?

1. 按照blade安全手册中防止sql注入,新增了blade-common-biz,然后将最新的类SqlKeyWord拷贝进去后,让其他的业务模块依赖

2. 调用localhost:8106/tenant/list?updatexml(1,concat(0x7e,version(),0x7e),1)=1 HTTP/1.1时发现并没有将updatexml过滤掉

3.debug时发现可以进入新的SqlKeyWord类中,但是在执行filter(k)前后发现k值没有变化,执行前后截图如下

image.png

image.png



关键词如下

image.png

二、你期待的结果是什么?实际看到的又是什么?

烦请帮忙看下是什么问题,正常应该是可以把关键词替换掉的,至少是可以把特殊符号换掉的,但是目前我的是没有变化,帮忙指导下是我哪里写的有问题

三、你正在使用的是什么产品,什么版本?在什么操作系统上?


四、请提供详细的错误堆栈信息,这很重要。

image.png

五、若有更多详细信息,请在下面提供。

2条回答
提交回复