标签:
Hibernate是一种ORMapping框架,内部可以使用原生SQL还有HQL语言进行SQL操作。
所谓的HQL注入,就是指在Hibernate中没有对数据进行有效的验证导致恶意数据进入应用程序中造成的。
请看这段代码:
Input参数即可造成注入。
不过在Hibernate中,一般都是在createQuery中使用PDO,使用setString填充占位符进行sql语句的拼接,如果是这样的话,自然就不存在SQL注入,但是不排除有人像上面的图片中的写法。
正常情况下:
Sqlin参数存在注入漏洞,于是:
由于Hibernate的HQL中,大多数情况下不支持union,更不支持数据库的meta data的查询,所以如何弄清楚实体名称和列名称才能继续提取有用的数据,遗憾的是,没有找到一种方法爆出当前的列名。
看了http://blog.h3xstream.com/2014/02/hql-for-pentesters.html, 上面说提交一个不存在的列名即可,但是本地测试没有成功,目测是try-catch了事物提交,然后e.getSql()方法。
比如,源码中进行错误处理,输出了e.getSQL()以及e.getXSQLException(),结果就和上面老外说的trick一样了:
不过我认为这样的“友好”错误存在的几率很小。
目前来看,HQL注入除了万能密码、知道表名列名的情况下进行盲注外,我没有想到比较好的方法来进行漏洞利用,个人认为Hibernate中的注入比较鸡肋。
标签:
原文地址:http://blog.csdn.net/u011721501/article/details/43918203
