Simple-Admin-Core 系统 SQL 注入问题分析与修复方案

问题概述

在 Simple-Admin-Core 系统 v1.2.0 至 v1.6.7 版本中，发现了一个限制性 SQL 注入问题。该问题位于系统的角色更新接口(/sys-api/role/update)，可能影响系统正常运行。

技术细节分析

问题成因

该问题的核心在于系统在处理角色更新请求时，对用户输入的 code 参数值处理不够严谨，直接拼接到了操作 casbin_rules 表的 SQL 语句中。

问题限制条件

虽然存在风险点，但该问题受到以下限制条件影响：

1. 系统对 code 参数的长度限制为不超过 20 个字符
2. 缺乏直接展示 casbin_rules 表数据的接口

这些限制条件大大降低了问题的实际影响程度。

潜在风险

尽管存在限制，仍可能尝试以下方式：

1. 信息获取：

   • 通过构造特殊 SQL 片段
   • 示例语句：update casbin_rules set v0='',v0=(select/*) WHERE v0='*/database()#

2. 系统影响：

   • 构造包含长时间 sleep 语句的请求
   • 示例：1'or sleep(999)#
   • 多个此类请求可能影响系统正常运行

3. 数据修改：

   • 通过精心构造的 SQL 片段，可能修改 casbin_rules 表中的数据

问题修复方案

项目维护者已通过以下方式修复该问题：

1. 输入验证强化：

   • 对用户输入的 code 参数进行严格的格式验证
   • 确保输入符合预期的业务规则

2. 参数化查询：

   • 使用预编译语句替代直接拼接 SQL
   • 从根本上防止 SQL 注入问题

3. 长度限制维持：

   • 保持对 code 参数的长度限制
   • 作为纵深防御的一环

安全建议

对于使用 Simple-Admin-Core 系统的开发者，建议：

1. 及时升级到修复后的版本
2. 对所有用户输入实施严格验证
3. 遵循最小权限原则配置数据库账户
4. 定期进行安全审计和代码审查
5. 实施 Web 应用防火墙(WAF)作为额外防护层

总结

虽然该 SQL 注入问题受到长度限制等因素的影响，影响性有限，但任何形式的 SQL 注入问题都可能成为系统安全的隐患。项目维护者及时响应并修复问题的做法值得肯定，同时也提醒开发者在使用开源项目时需要关注安全更新，及时应用补丁。