记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

代码审计连载-SQL注入漏洞

2021-08-11 20:09

在mapper文件中,发现了一个$符号



Mybatis配置文件中,使用【#】符号对参数进行预编译,使用【$】是对参数进行拼接,同时我们还要知道:order by无法进行预编译


跟下代码,在路由中找到了对应的请求


查看了实现类


在查询处直接抓包即刻进行SQL注入,太简单了,就不多说了。





JAVA 漏洞靶场:https://github.com/tangxiaofeng7/SecExample



知识来源: https://mp.weixin.qq.com/s?__biz=MzI1ODI0MTczNQ==&mid=2247487690&idx=1&sn=e1df02a045ebca3b63aaffae20a54c5c

阅读:117486 | 评论:0 | 标签:注入 漏洞 审计 SQL

想收藏或者和大家分享这篇好文章→复制链接地址

“代码审计连载-SQL注入漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁