【安全工具】浅谈编写Java代码审计工具

最新推荐文章于 2024-07-31 20:58:07 发布
最新推荐文章于 2024-07-31 20:58:07 发布
阅读量1.1k 收藏 5
点赞数
分类专栏: 安全 网络 安全工具 文章标签: java golang 网络安全 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/120515200
版权
本文介绍了大四学生使用javaparser作为工具,开发Java代码审计工具的过程,旨在检测Servlet XSS。通过验证导入包、获取类节点、分析方法、确认参数可控性以及确定触发点来实现审计。文章提供了基础示例和测试结果,同时提到工具还有扩展到更多漏洞审计及参数追踪的潜力。
摘要由CSDN通过智能技术生成

在这里插入图片描述

介绍

笔者是大四学生,初涉安全的萌新,如果文章有错误之处还请大佬指出!

最初考虑采用纯正则等方式匹配,但这种方式过于严格,程序员编写的代码有各种可能的组合

于是尝试自行实现Java词法分析和语法分析,稍作尝试后发现这不现实,一方面涉及到编译原理的一些算法,另外相比C语言等,Java语言本身较复杂,不是短时间能搞定的,深入研究编译原理背离了做审计工具的目的

后来找到了几种解决方案:Antlr,JavaCC,JDT,javaparser

经过对比,最终选择javaparser项目,该项目似乎是基于JavaCC,核心开发者是effective java的作者。使用起来比较方便,可以简单地以依赖的方式导入

<dependency>
    <groupId>com.github.javaparser</groupId>
    <artifactId>javaparser-symbol-solver-core</artifactId>
    <version>3.23.0</version>
</dependency>

笔者本想采用Golang编写该工具,查找相关资料后发现,Golang本身提供AST库,可以对Golang本身做语法分析,但找不到实现Java语法分析的库(考虑后续复习下编译原理自己尝试)

实例

javaparser最根本的类是CompilationUnit,如果我们想对代码做分析,首先需要实例化该对象

// code是读入的java代码字符串
// 也有其他重载,但这个比较方便
CompilationUnit compilationUnit = StaticJavaParser.parse(code);

给出一段最简单的XSS代码

package testcode.xss.servlets;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class Demo extends HttpServlet {

    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        String param = req.getParameter("xss");
        resp.getWriter().write(param);
    }
}

针对于该案例,我们写审计工具的原理

  • 从import来看,比如有request和response,以证明这是HttpServlet
  • 从类来看,必须继承自HttpServlet才能证明这是Servlet
  • 如果req.getParameter得到的值被write了,认为这是XSS

最低0.47元/天 解锁文章
IT老涵
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码审计(入门篇).pdf
10-21
本书《Java代码审计(入门篇)》是一本系统、全面、实战的Java代码审计入门图书,旨在帮助Java开发人员快速掌握Java代码安全审计技巧。全书从浅入深地介绍了Java代码审计的流程、Java Web漏洞产生的原理,以及实战...
java argumentparser_JavaParser:Java代码生成
weixin_33474071的博客
02-13 461
在本文中,我将向您展示如何使用...生成Java代码JavaParser。我在javaparser.org或手册中找不到关于代码生成的大量文档。因此,我认为将其解决将有助于想要尝试使用Java解析器的人。在最简单的形式中, JavaParser 库允许您与Java源代码交互,作为Java环境中的Java对象表示。更正式地说,我们将此对象表示称为抽象语法树(AST)。此外,它还能够操纵源代码的底层...
java解析调用_Java方法调用解析器?
weixin_42527589的博客
03-02 322
不要使用正则表达式!使用了解java工具.使用:>源代码解析器(例如javaparser)>字节码分析(例如ASM)>一个方面(AspectJ)在源解析器和ASM中,您将编写一个扫描方法调用的访问者.public void visit(MethodCallExpr n, A arg)示例代码:public static void main(final String[] args...
Java中的代码审计与漏洞检测工具使用
最新发布
微赚淘客系统开发者博客
07-31 875
通过对代码进行系统化的审计,可以及早发现潜在的安全漏洞和质量问题,从而提高应用程序的安全性和稳定性。通过使用这些工具,开发者可以对代码进行系统化的审计,及时发现和修复潜在的问题,确保代码的质量和安全性。SonarQube是一个广泛使用的开源平台,用于静态代码分析,检测代码中的错误、代码异味以及安全漏洞。SpotBugs是FindBugs的一个分支,是一个静态代码分析工具,用于查找Java代码中的潜在错误。SonarQube将生成详细的代码质量报告,帮助开发者发现代码中的潜在问题。
java 自动生成代码_Java 代码自动生成
weixin_36108931的博客
02-20 364
这也可以生成代码packagetest;importcom.github.javaparser.ASTHelper;importcom.github.javaparser.ast.CompilationUnit;importcom.github.javaparser.ast.PackageDeclaration;importcom.github.javaparser.ast.body.C...
优化代码质量的利器、高效清理Java项目中的垃圾方法、精确定位无用方法,曙光照耀,扬我代码尘埃——未使用方法分析利器、暴打IDEA识别无用方法
hs598375774的博客
03-11 1038
2、代码分析 代码整体结构分析:总体来说,该代码通过使用JavaParser库对Java代码进行解析,实现了对指定目录下的方法进行分析,判断是否未被使用。它采用了访问者模式,将方法的声明和方法的调用分别处理,最终输出未使用的方法列表。以下代码是一个用于分析未使用方法的工具类AnalyzerUnusedMethodUtil。它通过使用JavaParser库解析Java代码文件,遍历项目目录下的所有Java文件,检查指定目录中的service、mapper、manager等几个目录下的方法是否未被使用。它实现了
Java基础 | 专业排行榜前7的Java代码审计工具
ch98000的博客
09-02 6081
本文给出了上面的所有好的Java审计工具和基本使用方法,和各自特点,并且以上都很好用,都很优秀,如果能好好使用,可以让工作效率大大增加。
信息安全_浅谈Android自动化审计.pptx
08-14
【基于Java的自动化审计】通常涉及反编译APK至Java代码,如使用Dex2jar和jd-gui或jeb。这种方法可以提供相对准确的分析结果,但由于基于关键词匹配,可能存在误报和漏报问题,且反编译过程耗时较长。 【基于Smali的...
浅谈构建安全高效的审计信息化安全保障体系的措施.docx
12-27
3. 强化信息安全审计:将信息安全审计纳入内控和信息系统治理框架,通过评估和控制确保信息资产的安全。 4. 依据国际标准:参照《信息安全管理业务规范》等国际标准,建立健全信息化审计的控制体系,提高信息系统的...
浅谈Java StringBuilder为什么线程不安全
08-25
浅谈Java StringBuilder为什么线程不安全 Java StringBuilder是一个可变的字符串对象,它可以动态地增加或删除字符,然而,它却不是线程安全的。在多线程环境下,使用StringBuilder可能会出现一些问题,例如输出值...
Java代码漏洞检测-常见漏洞与修复建议
晨港飞燕的专栏
11-19 7322
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
JavaParser: 解析Java代码的强大工具
gitblog_00089的博客
03-14 5705
JavaParser: 解析Java代码的强大工具 如果你正在寻找一个能够解析Java源代码的工具,那么JavaParser可能是你的理想选择。它是一个强大的、易于使用的Java语法分析器,可以帮助你在各种场景中处理Java代码。 什么是JavaParser? JavaParser是一个Java库,用于将Java源代码解析为抽象语法树(AST)。AST是一种数据结构,表示程序的逻辑结构,可以让你...
java代码审计之常见漏洞学习
weixin_51725318的博客
08-18 447
java代码审计之常见漏洞学习
JavaParser生成,分析和修改Java代码
热门推荐
最佳 Java 编程
06-08 3万+
作为开发人员,我们经常鄙视手动进行重复工作的人员。 我们认为, 他们应该实现这一目标 。 尽管如此,我们还是进行与编码有关的所有活动。 当然,我们使用的高级IDE可以为我们执行一些重构,但这基本上就是结束了。 我们不品尝我们自己的药。 让我们改变它。 让我们看看如何将代码编写为: 生成我们必须编写的无聊的重复性Java代码 分析我们的代码以回答有关它的一些问题 做一...
基于Spring Boot 的多数据源解决方案
a369966697的博客
04-12 1044
我们总是喜欢瞻仰大厂的大神们,但实际上大神也不过凡人,与菜鸟程序员相比,也就多花了几分心思,如果你再不努力,差距也只会越来越大。实际上,作为程序员,丰富自己的知识储备,提升自己的知识深度和广度是很有必要的。
Java代码审计
谷哥的小弟
04-11 1595
代码审计是一种安全测试方法,它通过对软件应用程序代码的静态分析和动态测试来确定应用程序中存在的安全漏洞。其主要目的是检测应用程序中可能被攻击者利用的安全漏洞,如输入验证问题、访问控制问题、缓冲区溢出、SQL注入等。通过进行代码审计可以发现应用程序中的潜在安全漏洞并提出修复建议,以提高应用程序的安全性。
JAVA代码审计SAST工具使用与漏洞特征
道阻且长,行则将至。
03-04 1370
本文来学习、总结下业界常见的 Java 语言代码审计工具的使用,同时通过检验工具的漏洞扫描结果学习下常见漏洞的代码特征,毕竟只有多看看漏洞所在的缺陷代码,才能避免实战中与漏洞“碰面”了却“互不相识”。
Java安全代码审计介绍及扫描工具Fortify详解
02-24
本节课程是为后续Java代码审计课程的铺垫课程,本节课程中详细介绍了什么是Java安全代码审计Java代码审计需要的前置知识等介绍性的内容,同时也给大家介绍了一款专门用于Java代码审计的扫描工具Fortify,该工具在我们进行代码审计过程中能极大的帮助我们发现代码漏洞所在点,精准的定位和全面的扫描极大的减轻了我们在海量代码审计的工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值