关于SQL注入

Blade 未结 2 428
caojun
caojun 剑童 2024-07-03 11:31

一、该问题的重现步骤是什么?

image.png


二、你期待的结果是什么?实际看到的又是什么?

解决SQL注入

三、你正在使用的是什么产品,什么版本?在什么操作系统上?

BladeX 2.8.0.RELEASE  linux系统

四、请提供详细的错误堆栈信息,这很重要。


五、若有更多详细信息,请在下面提供。

https://center.javablade.com/blade/BladeX-Safety 已经按照里面的修复方法进行修复 但是无效

打完的包里面的确有这个类

image.png

2条回答
  • 2024-07-03 12:23

    这个只是sql操作报错返回的日志,不是sql注入。如果是sql注入,就会返回具体的数据了。

    [屏蔽日志详情返回]、[用户导出接口加权限]等其他功能优化,麻烦按照文档里的第四点和第七点操作下。

    作者追问:2024-07-03 13:51

    image.png

    最后打的包 的确有这个类  可是不生效啊

    回答: 2024-07-03 13:57

     1. 这里找到对应版本的bladex-tool:https://center.javablade.com/blade/BladeX/releases?page=2

     2. 把最新的类覆盖到对应位置

     3. bladex-tool工程构架好之后,根目录执行 mvn clean install刷新依赖

     4. 启动工程检查

     5. 其他的安全注意点文档里提到的也都处理一遍


    作者追问:2024-07-03 14:00

    我直接在blade-common里改了啊

    0 讨论(0)
  • 2024-07-03 13:12

    image.png

    image.png

    这种的不算SQL注入吗


    作者追问:2024-07-03 13:18

    找个工具类执行SqlKeyword.filter("updatexml") 查看返回结果,把这个类更新到bladex-tool本地执行mvn clean install刷新依赖再启动。 [屏蔽日志详情返回]、[用户导出接口加权限]等其他功能优化,麻烦按照文档里的第四点和第七点操作下。文档的几个注意点你都执行完了再操作试试

    作者追问:2024-07-03 13:33

    这是更新SqlKeyword后的结果,注入字段已经被清除了所有的特殊符号。这是别人的帖子,同样的文档,别人就可以成功,麻烦你再仔细过一遍:https://sns.bladex.cn/q-11877.html

    CleanShot20240703133054@2x.png

    0 讨论(0)
提交回复