业务系统出现sql注入漏洞

划时代 · 发表于 2017-3-3 13:59:14

所用版本：5.2.1.2000 与 BeX3.5。
业务系统中有很多查询功能，当在查询框中输入特殊字符时，导致后端action报错，这时会把报错信息也显示在前端（报错信息中包含了sql语句），所以是否有办法，可以统一拦截action中的报错信息，不让这些信息出现在前端。

jishuang · 发表于 2017-3-3 14:39:34

1.sql注入是前端传递sql语句查出才会有这个漏洞！平台用的是ksql是后台生成的是安全的！
而且调用平台的API处理sql的参数最终都是用?的方式setParameter，是防止sql注入的
2.信息的安全传输建议部署为 https

划时代 · 发表于 2017-3-3 14:59:03

jishuang 发表于 2017-3-3 14:39
1.sql注入是前端传递sql语句查出才会有这个漏洞！平台用的是ksql是后台生成的是安全的！
而且调用平台的API ...

是否有统一方式，给后端action加上异常捕获，不让后端sql报错，显示到前端。

jishuang · 发表于 2017-3-3 16:05:34

正式时候部署的时候前端不能就不会显示堆栈信息的

前端的都是通过/UI2/system/lib/base/error.js中抛出错误的，可以自己截取错误信息

划时代 · 发表于 2017-3-6 11:06:42

jishuang 发表于 2017-3-3 16:05
正式时候部署的时候前端不能就不会显示堆栈信息的

前端的都是通过/UI2/system/lib/base/error.js中抛出错 ...

通过这种方式确实可以在前端不显示报错信息，但是如果通过拦截工具，在http的响应信息中，还是有ksql错误信息。是否有方式在后端就将错误信息拦截。这样，对那些蓄意搞破坏的人，也能屏蔽后端的sql信息。

jishuang · 发表于 2017-3-6 11:54:29

信息的安全传输建议部署为 https

划时代 · 发表于 2017-3-6 14:27:04

jishuang 发表于 2017-3-6 11:54
信息的安全传输建议部署为 https

我想知道能否在后端将异常信息拦截？

jishuang · 发表于 2017-3-6 15:53:23

那就需要自己重写标准的action，自己抛出异常处理

Fancye · 发表于 2017-3-27 16:43:17

可以写一个拦截器，统一拦截响应报文体，并做异常统一分类处理

		自动登录	找回密码
密码			注册

[结贴] 业务系统出现sql注入漏洞