Java安全代码审计-Struts2

最新推荐文章于 2024-03-15 23:44:27 发布
最新推荐文章于 2024-03-15 23:44:27 发布
阅读量3k 收藏
点赞数
分类专栏: JavaSec 文章标签: java 安全 struts
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Re_ly0n/article/details/121052839
版权
本文详细介绍了对Java Struts2代码进行安全审计的过程,特别是针对Struts2 OGNL表达式注入漏洞的分析。文章首先讲述了环境搭建和Struts2的基础知识,包括请求处理流程。接着深入讲解了OGNL表达式的三要素,并通过漏洞分析展示了如何利用OGNL表达式注入执行恶意代码。最后提供了漏洞利用POC和参考资料。
摘要由CSDN通过智能技术生成

前言

Java感觉自己学了和没学差不多,第一次尝试去审计java方面的代码,平常课很多,课下抽时间看的,第一次环境搭建,搞了几个小时,然后第二天审计的时候刚开始自己的思路有点问题,导致第二天也并没有实质性的进展,总共耗时3天半,从头到尾的把漏洞走了一遍,学到了很多,也学习到关于Struts2的知识,感觉很不错的一次代码审计体验。如有错误或者没有解释清楚的地方还望大佬们见谅。

环境搭建

安装tomcat环境,不再演示

具体操作步骤

创建一个Maven项目并勾选Create from archetype,并且选择下面的webapp

项目名称自定义

然后一路next就可以了,等待构建完成。接下来我们分别添加并配置Maven的pom.xml,这里我给出我的这个文件的内容

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>

  <groupId>org.example</groupId>
  <artifactId>Struts2</artifactId>
  <version>1.0-SNAPSHOT</version>
  <packaging>war</packaging>

  <name>Struts2 Maven Webapp</name>
  <!-- FIXME change it to the project's website -->
  <url>http://www.example.com</url>

  <properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <maven.compiler.source>1.7</maven.compiler.source>
    <maven.compiler.target>1.7</maven.compiler.target>
  </properties>

  <dependencies>
    <dependency>
      <groupId>junit</groupId>
      <artifactId>junit</artifactId>
      <version>4.11</version>
      <scope>test</scope>
    </dependency>
    <dependency>
      <groupId>org.apache.struts</groupId>
      <artifactId>struts2-core</artifactId>
      <version>2.0.8</version>
    </dependency>
  </dependencies>

  <build>
    <finalName>Struts2</finalName>
    <pluginManagement><!-- lock down plugins versions to avoid using Maven defaults (may be moved to parent pom) -->
      <plugins>
        <plugin>
          <artifactId>maven-clean-plugin</artifactId>
          <version>3.1.0</version>
        </plugin>
        <!-- see http://maven.apache.org/ref/current/maven-core/default-bindings.html#Plugin_bindings_for_war_packaging -->
        <plugin>
          <artifactId>maven-resources-plugin</artifactId>
          <version>3.0.2</version>
        </plugin>
        <plugin>
          <artifactId>maven-compiler-plugin</artifactId>
          <version>3.8.0</version>
        </plugin>
        <plugin>
          <artifactId>maven-surefire-plugin</artifactId>
          <version>2.22.1</version>
        </plugin>
        <plugin>
          <artifactId>maven-war-plugin</artifactId>
          <version>3.2.2</version>
        </plugin>
        <plugin>
          <artifactId>maven-install-plugin</artifactId>
          <version>2.5.2</version>
        </plugin>
        <plugin>
          <artifactId>maven-deploy-plugin</artifactId>
          <version>2.8.2</version>
        </plugin>
      </plugins>
    </pluginManagement>
    <resources>
      <resource>
        <directory>main/java</directory>
        <includes>
          <include>**/*.xml</include>
        </includes>
      </resource>
    </resources>
  </build>
</project>

然后在idea的右上方

点击之后就可以看到

 然后去配置web.xml

<!DOCTYPE web-app PUBLIC
 "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
 "http://java.sun.com/dtd/web-app_2_3.dtd" >

<web-app>
  <display-name>S2-001 Example</display-name>
  <filter>
    <filter-name>struts2</filter-name>
    <
最低0.47元/天 解锁文章
ly0n
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java EE 开发框架安全审计——SSM框架(入门篇)
m0_61506558的博客
10-28 968
在SSM框架之前,生产环境中多采用SSH框架(由这3个开源框架整合而成)。后因Struts2爆出众多高危漏洞,导致目前SSM逐渐代替SSH成为主流开发框架的选择。(一)SSM 框架简介。
Java Web安全审计实战
悦分享
01-24 130
项目对象模型或POM是Maven的基本工作单元。它是一个XML文件,其中包含有关Maven用于构建项目的项目和配置详细信息。它包含大多数项目的默认值。示例是构建目录,即target;这是源目录src/main/java;测试源目录src/test/java;等等。POM已从Maven 1中的project.xml重命名为Maven 2中的pom.xml。而不是具有包含可执行目标的maven.xml文件,目标或插件现在已在pom.xml中配置。执行任务或目标时,Maven会在当前目录中查找POM。
在我们的Struts代码中-深入审计java漏洞
一个码农的笔记
11-02 1007
翻译自: https://blog.sqreen.io/in-code-we-struts/ 翻译:聂心明 休斯顿,我们有一个严重的安全问题 哎,对一个严重问题的大多数公众报道是这样的:“这里有一个严重的问题,你应该赶快去升级ASAS,否则你家小猫咪就会死掉了,你的灵魂将被放在山上燃烧。” 如果你没有灵魂,也不在乎小猫,只要简单的把小猫换成“应用程序”,把“你的灵魂将被放在山上燃烧”换成“在凌晨4...
梦里寻她千百度 | 新书预告:JAVA代码安全审计(入门篇)
Ms08067安全实验室
12-28 2261
近期很多读者询问关于《JAVA代码安全审计》一书的出版进展,统一回复下,目前新书《JAVA代码安全审计(入门篇)》11月底已经完成全部书稿并交付出版社,全书分为九章460页,共计...
java代码安全审计_环境加固 – IBM Developer
weixin_36472625的博客
02-13 630
前言本文是 Java Web 工程源代码安全审计实战的第 4 部分,也是最后一部分,基于 WebGoat 工程,讲解源码审计生产环境部署配置问题。相比较于前三部分各种高危漏洞的审计和整改。环境部署部分篇幅较短,但是因为其在逻辑上是不耦合,故独立成文。Java Web 应用工程部署并运行在服务器环境中,所以代码安全审计除了检查编程语言(Java, JSP,JavaScript)文件,还要检查应用配置...
Java代码审计工程师 视频教程 下载 百度网盘链接2.zip
最新发布
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
第57天:代码审计-JAVA项目框架类漏洞分析报告1
08-03
理解和掌握OGNL、SpEL以及Struts2框架中的关键组件是保证Java项目安全的关键步骤。在进行代码审计时,不仅要检查是否存在潜在的安全漏洞,还要确保所有组件的使用都遵循最佳实践,以降低攻击风险。
代码审计-JAVA项目框架类漏洞分析报告
m0_61506558的博客
10-07 575
Spring Expression Language(缩写为SpEL)是一种强大的表达式语言。在Spring产品组合中,它是表达式计算的基础。它支持在运行时查询和操作对象图,它可以与基于XML和基于注解的Spring配置还有bean定义一起使用。由于它能够在运行时动态分配值,因此可以为我们节省大量Java代码。
代码审计-Spring框架安全
cdyunaq的博客
05-06 2592
Spring框架安全 作者:t4reega 1.1. Spring简介 Spring是目前Java应用最广泛的框架之一,是拥有着IoC和AOP的优秀机制的容器框架。 而Spring MVC,则是Spring提供给Web开发的框架设计。 1.2. Spring MVC实现逻辑 Spring MVC中,所有的请求都有DispatcherServlet来统一处理、分发。然后借助HandlerMapping定位到处理请求的控制器(Controller)。 Controller处理完成用户请求后,返回M
Java Web 工程源代码安全审计实战的第 1 部分.pdf
08-16
本文是JavaWeb工程源代码安全审计实战,基于WebGoat工程,讲解四种高危漏洞:文件路径操纵、系统日志欺骗、线程安全和资源未释放问题。
Struts2-Vuln:关于Struts2框架的历史漏洞个人分析文章
04-23
Struts2-Vuln 本系列文章将详细分析 Java 流行框架 Struts2 的历史漏洞,今后关于 Struts2 新的漏洞分析,也将更新于 项目上。该系列仅是笔者初学 Java代码审计 的一些记录,也希望能够帮助到想学习 Java代码审计 的朋友 。如有任何问题,欢迎 issue 。分析文章均来自 ,转载请注明出处 :grinning_face_with_smiling_eyes: 。 Article list - Ognl远程代码执行 - <s>、<s>标签存在XSS漏洞 Contact blog : License Struts2-Vuln is licensed under MIT.See the for detail.
struts2 ajax上传文件 file空_文件操作类基础代码审计
weixin_39906499的博客
11-22 186
0x00 文件包含本地包含本地文件包含(Local File Include)简称 LFI,文件包含在php中,一般涉及到的危险函数有 include()、 include_once()、 require()、 require_once(),在包含文件名中存在可控变量的话就可能存在包含漏洞,由于这几个函数的特性也可能产生其他漏洞,后面一一讲到。示例:php $file = $_GE...
Java代码审计安全篇-常见Java SQL注入
m0_63138919的博客
03-05 804
本文章参考qax的网络安全java代码审计,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Java代码审计安全篇-反序列化漏洞
m0_63138919的博客
03-15 1357
​ 本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误 ​
JAVA代码审计之四大框架学习
goddemon
08-30 603
java三大框架之间的关系 1.Struts:基于MVC的充当了其中的视图层和控制器; 2.Hibernate:做持久化的,对JDBC轻量级的封装,使得我们能过面向对象的操作数据库; 3.Spring: 采用了控制反转的技术,管理Bean,降低了各层之间的耦合。 一.Struts框架 web.xml //对于代码审计而言这个文件的核心是过滤机制 常用 <filter-mapping>的<url-pattern> //如 即当是以.action为结尾的请求时 都会调用这个过滤机制
Java代码审计文章
soldi_er的博客
07-15 381
  代码审计是相对高效的漏洞挖掘方法,哪怕逐渐产生xcheck等使用污点分析的自动化审计软件,也仍然需要具有审计功底的工程师人工验证漏洞报告,甚至开发更佳的审计软件。有时觉得代码审计繁琐,但其实黑盒更繁琐且容易失去重心,辛勤的黑盒漏洞挖掘,可能还不如审出一个框架的CVE来的实在,。安全基于代码,更高于代码,代码审计安全的精髓之一。   有一个不停内耗的疑惑:究竟是不断地追求成果,还是十年板凳无人问、一朝漏洞世人知?也许我们更应该关注自己。另外安全是项目繁杂的,不断地有项目和事务向我们砸来,我们对某方面技术
白盒测试-代码审计
weixin_46626737的博客
03-13 390
文件上传--找头像上传,move_up_upload_file函数等。常用审计思路,利用idea,中的全局搜索:ctrl+shift+F,引用追踪:alt+f7或查找引用。看指向:外部和內部,自主编写的过滤器在內部项目库中,框架的过滤器在外部项目库。③规则写法(引用内置过滤)-很安全-通过查找框架版本人们发布的poc,测试。Ⅱ.java开发框架:(找漏洞的方式就是找过滤器,绕过)①Shiro:配置文件-web.xml或者pom.xml。②Maven:配置文件-web.xml或者pom.xml。
JAVA代码审计SAST工具使用与漏洞特征
道阻且长,行则将至。
03-04 1315
本文来学习、总结下业界常见的 Java 语言代码审计工具的使用,同时通过检验工具的漏洞扫描结果学习下常见漏洞的代码特征,毕竟只有多看看漏洞所在的缺陷代码,才能避免实战中与漏洞“碰面”了却“互不相识”。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值