Java源代码危险函数

最新推荐文章于 2023-09-06 00:34:49 发布
最新推荐文章于 2023-09-06 00:34:49 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: java代码审计
原文链接:https://www.ctolib.com/Cryin-JavaID.html
版权

JavaID通过常规匹配来识别Java源代码中的某些危险函数。

有关更多详细信息,请在主站点github.com/Cryin/JavaID上查看源代码。

XXE:
   "SAXReader",
   "DocumentBuilder",
   "XMLStreamReader",
   "SAXBuilder",
   "SAXParser",
   "XMLReader",
   "SAXSource",
   "TransformerFactory",
   "SAXTransformerFactory",
   "SchemaFactory",
   "Unmarshaller",
   "XPathExpression"

JavaObjectDeserialization:
   "readObject",
   "readUnshared",
   "Yaml.load",
   "fromXML",
   "ObjectMapper.readValue",
   "JSON.parseObject"
SSRF:
   "HttpClient",
   "Socket",
   "URL",
   "ImageIO",
   "HttpURLConnection",
   "OkHttpClient" 
   "SimpleDriverDataSource.getConnection"
   "DriverManager.getConnection"
FILE:
   "MultipartFile",
   "createNewFile",
   "FileInputStream"
SPelInjection:
   "SpelExpressionParser",
   "getValue"
Autobinding:
   "@SessionAttributes",
   "@ModelAttribute"
//小声bb:
//Model应该就是绑定数据到对象模型的
//后端给前端传数据的时候用的
URL-Redirect:
   "sendRedirect",
   "forward",
   "setHeader"
EXEC:
   "getRuntime.exec",
   "ProcessBuilder.start",

可以通过这个脚本来搜索:https://github.com/Cryin/JavaID/blob/master/javaid.py

转自:https://www.ctolib.com/Cryin-JavaID.html

hu4wufu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python-java源代码危险函数识别prog
08-10
java源代码危险函数识别prog
JAVA代码审计中危险函数
小小猪的博客
12-27 2464
JAVA代码审计中危险函数 xxe: javax.xml.parsers.DocumentBuilder (原生dom解析xml) 例子: DocumentBuilderFactory doc=DocumentBuilderFactory.newInstance(); DocumentBuilder db=doc.newDocumentBuilder(); InputStream is= new FileInputStream("test.xml"); Document doc=do..
java学习脚印:SAX解析xml时命名空间以及参数问题(敏捷版)
王定桥的专栏
11-09 4186
java学习脚印:SAX解析xml时命名空间以及localName等参数问题 本文以实例形式解释下java利用SAX解析xml时命名空间及其参数问题。 关于为什么要使用,以及怎么使用命名空间的问题,可以参考W3school官方教程,在这里我们就展开讨论了。 1.命名空间直观感受 首先对命名空间有个直观感受,看下面的未使用命名空间的xml代码:
Java解析 xml文件:“unknown protocol: c Nested exception: unknown protocol: c”
dandelionoooo的博客
03-27 2190
设置xml的某个属性值时出了错,百度了一下说是无法识别路径的 "c://",在前面加入”file://“才能被识别,原来设置的写法是 /** * 修改XML的token值 * @author 郑清 */ public void updateXMLDataDemo(String token) { SAXReader sr = new S...
java中的危险函数
任浩的博客
01-13 1149
getParameter() getcokies() getQueryString() getheaders() Runtime.exec() logger.info() password() upload() download()
java危险函数_java源代码危险函数识别prog
weixin_34000790的博客
02-26 153
JavaIDjava source code danger function identify progHow does it work?JavaID identify some dangerous functions in java source code by way of regular matching.For further details, check out the source c...
危险代码:内存中的Java类和对象为何变得不安全—Part1
asia_one的专栏
01-08 719
本文由 ImportNew - 吴际 翻译自 zeroturnaround。如需转载本文,请先参见文章末尾处的转载要求。 ImportNew注:如果你也对Java技术翻译分享感兴趣,欢迎加入我们的 Java开发 小组。参与方式请查看小组简介。 让我们开始展示内存中Java类和对象结构 你可曾好奇过Java内存管理核心构件?你是否问过自己某些奇怪的问题,比如: 一个类在内存中
java危险函数
最新发布
愿路途漫长,莫失莫忘。 愿不骄不躁,安稳顺心。
09-06 194
日志输出,可造成信息泄露的风险。最后再给大家介绍以下。
代码审计之危险函数
weixin_34124577的博客
05-18 565
0x01 总结一下php代码审计中的危险函数及一般方法。 0x02 审计 一般拿到一套CMS源码,有不同的审计思路,大概分为这几种,追踪危险函数,然后回溯。按功能点来进行审计。直接通读全文代码。或者跟踪数据流进行审计。但不管那种,我觉得因该先看入口文件,了解整体框架结构,网站配置。 0x03 漏洞 文件包含漏洞 本地文件包含 函数有: include(),include_onc...
为什么函数式编程在Java中很危险
12-22
摘要:函数式编程这个不温不火的语言由来已久。有人说,这一年它会很火,尽管它很难,这也正是你需要学习的理由。那么,为什么函数式编程在Java中很危险呢?也许这个疑问普遍存在于很多程序员的脑中,作者Elliotte对此发表了一些见解,我们一起来看看他是怎么说的。   在我的日常工作中,我身边的开发者大多是毕业于CS编程院校比如MIT、CMU以及Chicago,他们初次涉及的语言是Haskell、Scheme及Lisp。他们认为函数式编程是一种自然的、直观的、美丽的且高效的编程样式。但奇怪的是,我和我的同事并没有为Haskell、Scheme、Lisp、Clojure、Scala而编程,这个行业
JAVA代码审计常用漏洞总结
12-11
主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯: 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑 可以是一个函数,或者是条小小的条件判断语句。 敏感函数参数回溯,根据敏感函数,逆向追踪参数传递的过程。这个方法是最高效,最常用 的方法。大多数漏洞的产生是因为函数的使用不当导致的,只要找到这些函数,就能够快速挖掘想要的漏洞。
winner
03-07
执行图形用户界面: JavaFX 项目规模: 85天内置PL / SQL Java我们选择PL / SQL-Oracle公司的过程扩展来实现数据库,并使用JDBC库连接Java以访问各种数据库操作。一般的问题查找该学期最受欢迎的课程。 在本学期的...
java霸王的大陆源码-Overlord:强大的内存管理库。无限制地在JVM的本机内存上执行非法,不安全和极其危险的操作
05-25
java霸王的大陆原始码霸王 作品#1 强大的内存管理库。 无限制地在JVM的本机内存上执行非法,不安全和极其危险的操作。 您也可以假装这是C,并直接管理内存! :) 特征: 在不使用其构造函数的情况下创建对象。 编辑...
JavaScript危险函数|eval()函数
qq_60115503的博客
04-18 5435
描述 eval()是全局对象的一个函数属性 eval()的参数是一个字符串,如果字符串表示的是表达式,eval()会对表达式进行求值,如果参数表示一个或多个JavaScript语句,那么eval()就会执行这些语句,不需要用eval()来执行一个算术表达式:因为javascript可以自动为算术表达式求值 如果你以字符串的形式构造了算术表达式,那么可以在后面用eval()对他求值,例如,假设你有一个变量x,你可以通过将表达式的字符串值(例如3*x+2)赋值给一个变量,然后在你的代码后面的其他地方调用e
org.dom4j.DocumentException: unknown protocol: d Nested exception: unknown
weixin_33806300的博客
09-06 864
最近用dom4j写了一个修改XML文件的小例子,抛出了如下异常: org.dom4j.DocumentException: unknown protocol: d Nested exception: unknown protocol: d 在网上查了资料,问题的原因是Tomcat的安装路径有空格.d是Tomcat安装的盘符.解决的办法有两种:1.重新安装Tomcat.去掉空格. 2.将解析的X...
java saxreader 生成xml_java – 最佳实践:为XMLReader创建SAX解析器
weixin_39631467的博客
02-13 332
XMLReader通过一系列步骤来识别要使用的驱动器.引用文档>如果系统属性org.xml.sax.driver具有值,则使用该值作为XMLReader类名.> JAR“服务API”用于查看对于META-INF / services / org.xml.sax.driver文件中的类名称jarfiles可用于运行时.> SAX解析器分发是强烈建议提供一个默认的XMLReader类...
企业入驻功能java源代码
07-10
很抱歉,我无法提供具体的 Java 源代码,但我可以为您提供一个简单的企业入驻功能的伪代码示例,供您参考: ```java import java.util.ArrayList; import java.util.List; class Company { private String name; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值