JeecgBoot SQL注入问题分析与修复方案

问题概述

JeecgBoot是一款基于Spring Boot的低代码开发平台，在3.4.3至3.8.0版本中存在一个SQL注入问题。该问题位于在线报表功能的SQL解析接口中，攻击者可通过构造特殊子查询语句绕过系统内置的SQL过滤机制，进而执行非预期SQL查询，获取数据库信息。

问题技术分析

问题位置

问题主要存在于/jeecg-boot/online/cgreport/head/parseSql接口中，该接口负责解析用户提交的SQL语句用于生成在线报表。系统通过org.jeecg.common.util.security.AbstractQueryBlackListHandler.isPass()方法对SQL语句进行安全检查。

问题成因

问题的核心在于SQL过滤检测逻辑存在缺陷：

1. 类型转换异常处理不当：isPass()方法中调用getQueryTableInfo(sql.toLowerCase())获取表信息时，当遇到子查询语句会抛出类型转换异常，但异常处理不当导致直接返回true，绕过了安全检查。

2. 过滤机制绕过：正常情况下，当SQL语句中包含特定表名时会被拦截。但攻击者通过构造select schema_name from (information_schema.schemata)这样的子查询语句，利用异常处理问题使过滤检查失效。

问题影响

成功利用此问题的攻击者可以：

• 查询数据库表数据
• 获取数据库结构信息
• 可能导致数据泄露

问题复现过程

1. 正常检测场景：当提交select schema_name from information_schema.schemata时，系统正确识别并拦截了特定表访问。

2. 绕过检测场景：当提交select schema_name from (information_schema.schemata)时，由于子查询触发了类型转换异常，导致安全检查被绕过。

3. 实际利用：攻击者可以创建包含非预期SQL的在线报表，通过功能测试接口获取数据库信息。

修复方案

开发团队已发布修复方案，主要改进包括：

1. 完善异常处理：对getQueryTableInfo方法的异常情况进行妥善处理，不再因异常而直接放行SQL语句。

2. 增强子查询检测：改进SQL解析逻辑，确保能够正确识别和处理子查询语句中的特定表名。

3. 防御深度增强：在SQL解析层增加更多安全检查点，形成多层防御机制。

安全建议

对于使用受影响版本的用户，建议：

1. 立即升级到最新版本
2. 检查系统中是否存在可疑的在线报表配置
3. 对数据库访问日志进行审计，排查可能的异常访问
4. 限制在线报表功能的使用权限

总结

此问题展示了在SQL安全检测中异常处理的重要性。开发者在设计安全机制时，不仅需要考虑正常流程的防护，还需要特别注意异常情况下的安全边界。JeecgBoot团队的快速响应和修复体现了开源项目对安全问题的重视，用户应及时更新以确保系统安全。