3.7K Star 12.3K Fork 4.7K

卓源软件 / JeeSite 4.3

 / 详情

请给出此种SQL注入的官方解决方案

Backlog
Opened this issue  
2021-07-19 15:45

该问题是怎么引起的?

表头动态排序使用orderBy隐藏字段,发现此类注入方式可以正常注入
输入图片说明

重现步骤

动态排序表头都会有SQL注入问题

报错信息



Comments (10)

1302岁的龙猫 created任务
展开全部操作日志

这个只能代表输入框里是一个非法的值。这个值是不可能被注入到SQL的,后台有过滤方法,过滤后是空

好一个不可能,我有图为证,你们试过吗? :sleepy:
输入图片说明
输入图片说明

XSS攻击也没防御
输入图片说明
输入图片说明

@1302岁的龙猫 你好,你发这个问题我们很重视,确实也是试过的,这次我又试了一次,确实没有出现你说的问题。

输入图片说明

出现这个问题,应该是jeesite早期版本没有过滤sleep这个关键词,但本身sql过滤器是在EcodeUtils类里都有的,可能当时没想到这个关键,也有可能是你修改过这个类,解决方法:更新 EcodeUtils.java 为最新版

@1302岁的龙猫 这个问题,同样也是在 EncodeUtils.java 里面写的,看下图,已经转换为中文双引号:

输入图片说明

一起更新 EncodeUtils.java 应该也可以解决

我是4.2.0,上述两个问题自己在拦截器中过滤处理了,又发现了新的问题,Cookie里面的rememberUserCode也可以XSS。输入图片说明

这个问题也已修复,你搜索cookie这个关键字,替换为新的代码


试一下安全模式,这个应该是因为有些安全的配置没配的问题吧

@无限 谢谢分享,这个参数只是禁止一些无权数据查询,强制使用数据权限的一个参数,不是xss和sql过滤相关的。

Sign in to comment

Status
Assignees
Milestones
Pull Requests
Successfully merging a pull request will close this issue.
Branches
Planed to start   -   Planed to end
-
Top level
Priority
参与者(3)
6732 thinkgem 1578914432
Java
1
https://gitee.com/thinkgem/jeesite4.git
git@gitee.com:thinkgem/jeesite4.git
thinkgem
jeesite4
JeeSite 4.3

Search