设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 技术转载 代码审计连载-SQL注入漏洞
返回列表 发新帖
查看: 2425|回复: 0

代码审计连载-SQL注入漏洞

[复制链接]
Delina

855

主题

862

帖子

2940

积分

金牌会员

Rank: 6Rank: 6

积分
2940
发表于 2021-8-12 10:09:42 | 显示全部楼层 |阅读模式
原文链接:代码审计连载-SQL注入漏洞

在mapper文件中,发现了一个$符号

Mybatis配置文件中,使用【#】符号对参数进行预编译,使用【$】是对参数进行拼接,同时我们还要知道:order by无法进行预编译
跟下代码,在路由中找到了对应的请求

查看了实现类

在查询处直接抓包即刻进行SQL注入,太简单了,就不多说了。


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 13:30 , Processed in 0.012364 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表