发表新帖
发表新帖

扫描SQL注入

Blade 未结
关注
1 64
837750969@qq.co
837750969@qq.co 2024-11-15 18:13

一、该问题的重现步骤是什么?

扫描时出现sql注入问题。


二、你期待的结果是什么?实际看到的又是什么?

商业版,不应该出现sql注入问题。但是注入问题很多。


三、你正在使用的是什么产品,什么版本?在什么操作系统上?

3.1.0.RELEASE


四、请提供详细的错误堆栈信息,这很重要。

2d50ec28d78d15d3d803f6695258297b.png

${}部分可以传入表名称,字段名称等信息,导致被扫描出sql注入。

官方的类

SqlKeyword

主要是针对使用 Condition.getQueryWrapper,而自定义的mapper方法无法使用SqlKeyword。请问有什么解决方案么??

1条回答
  • admin
    admin (楼主)
    2024-11-15 18:14

    可以在controller、service层接受参数后,使用SqlKeyword.filter来过滤使用(使用前需要先下载最新版SqlKeyword来覆盖老版本,具体见:https://www.kancloud.cn/smallchill/blade-safety/3234106),举个简单例子如下

    CleanShot20241115181444@2x.png

    作者追问:2024-11-15 18:14

    不使用Wrappers的查询,是不走SqlKeyword.filter的吧,框架代码mappers中查询有使用${}的,漏洞扫描直接就报sql注入的漏洞了,这个怎么解决?

    回答: 2024-11-15 18:14

    看下下面的链接先自行处理下,或者反馈给工作流插件的作者统一修改一下

    https://baomidou.com/reference/about-cve/


    https://baomidou.com/plugins/illegal-sql-intercept/


    作者追问:2024-11-15 18:14

    怎么反馈给工作流插件作者?qq群里没人应答啊!

    回答: 2024-11-15 18:14

    发邮件提供公司名和授权qq号: bladejava@qq.com,邮件里提供联系方式

    0 讨论(0)
 看不清?
提交回复
热议问题
新建租户问题 1
nacos 服务注册不上 1
bladeX登录异常,blade社区登录正常 2
富文本编译器上传图片 axios startsWith undefined 1
将最新版本v4.2.0.release 中的spring降级..能否兼容 jdk1.8? 1
jar包导不出来 1
如果升级的话 Saber 前端变化需要注意哪些? 1
新版的Saber 前端代码是不是不全? 2
endpoint的使用 1
关于Bladex中流程使用问题 1
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 物联网开发平台
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2024 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号