Tìm cách ngăn chặn việc sử dụng java.sql.Statement trong dự án

Question

Nhóm của chúng tôi đang tìm cách tuân thủ tốt hơn các nguyên tắc OWASP và một trong các nhiệm vụ là phòng ngừa các cuộc tấn công SQL Injection. Để tạo thuận lợi cho điều này, tôi đã tìm kiếm một cách để tự động kiểm tra việc sử dụng java.sql.Statement trong codebase của chúng tôi, vì vậy điều này có thể được gắn cờ và thay đổi để sử dụng PreparedStatement.

Quá trình xây dựng của chúng tôi dựa trên Maven và chúng tôi cũng có cài đặt Sonar để chạy phân tích trên dự án. Một số quy tắc đã được đưa ra tại Sonar để không xây dựng được nếu các ngưỡng nhất định được đáp ứng, vì vậy điều này có thể được thực hiện ở đó. Tôi đã nhìn thấy nơi tôi có thể thiết lập một quy tắc regex kiểm tra kiểu tìm kiếm nhập khẩu, nhưng tôi muốn xem nếu có các tùy chọn khác là tốt.

Bất kỳ vị trí nào dọc theo đường dẫn xây dựng/phát triển sẽ hoạt động. Nếu có thứ gì đó trong intellij có thể gắn cờ cái này, cái gì đó trong quá trình xây dựng maven, hay một cách khác để gắn cờ cái này ở Sonar, bất kỳ cái nào trong số này cũng sẽ ổn thôi.

Cảm ơn !!

Answer 1

Tôi sẽ đề xuất creating an architectural constraint trong Sonar.

Ví dụ minh họa quy tắc cấm sử dụng các lớp * java.sql. **.

Answer 2

Tôi chưa sử dụng, nhưng PMD có vẻ như đây có thể là công cụ tốt cho việc này.

Answer 3

Thay vì phát hiện mức sử dụng lớp học, thay vào đó bạn có thể phát hiện thế hệ của mình bằng proxy java.sql.Connection không? Khi bạn nhận được kết nối của bạn từ nhà máy, bạn sẽ quấn nó trong proxy của bạn. Proxy của bạn sẽ được thiết kế để có thể thực hiện các cuộc gọi, đăng nhập chuỗi truy vấn và/hoặc báo cáo về dấu vết ngăn xếp khi mọi người đang sử dụng createStatement() hoặc các cuộc gọi không giới hạn khác.

public class ProxyConnection implements Connection { 
    private Connection realConnection; 

    public ProxyConnection(Connection realConnection) { 
     this.realConnection = realConnection; 
    } 

    public Statement createStatement() throws SQLException { 
     // could the offenders 
     createCounter.incrementAndGet(); 
     // log the callers -- expensive so maybe every 100th or every 10 secs 
     logger.info("call to createStatment", new Exception("createStatement")); 
     // maybe just throw 
     if (throwOnBadCall) { 
      throw new SQLException("calls to createStatement aren't allowed")); 
     } 
     return realConnection.createStatement(); 
    } 

Nếu bạn không muốn nhận quá nặng trong sản xuất sau đó bạn luôn luôn có thể đếm chúng và có một loại volatile boolean logBadCall của lá cờ để chỉ cho phép việc kiểm tra cho một khoảng thời gian để nếm thử tìm kiếm các vấn đề. Có thể ban đầu bạn làm một số lấy mẫu, tấn công 80% vị trí và sau đó chỉ phát hiện vĩnh viễn khi bạn đã quan tâm đến các phần tải truy vấn cao trong ứng dụng của mình.

Nếu bạn không có vị trí trung tâm để bọc kết nối thì bạn có thể phải quấn hồ bơi kết nối hoặc nhà máy lên chuỗi một chút.

Hy vọng điều này sẽ hữu ích.