JAVA代码审计初探

最新推荐文章于 2024-07-22 11:01:30 发布
最新推荐文章于 2024-07-22 11:01:30 发布
阅读量479 收藏 2
点赞数
分类专栏: 代码审计 文章标签: JAVA 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/crystal_shrimps/article/details/100176456
版权

写在前面

最近要做代码审计,事先预习了一下,整理了代码审计需要的基础知识和一些可简单审计的漏洞。

参考:JAVA安全编码与代码审计

JAVA常用架构

maven

根目录下有pom.xml

MVC

大部分web项目都基于MVC开发,model(模型)+view(视图)+controller(控制器)
dao层,service层,controller层(web),view层

  • controller 负责具体业务的模块流程的控制,会调用到下面 Service 层的接口来控制业务流程
  • service 主要负责业务模块的应用逻辑应用设计,先设计接口,在设计实现类。这一层,是纯业务逻辑。在使用 Service 层时,会继续调用下面的 DAO 层的接口。
  • dao 负责数据持久化,通俗点说就是用来和数据库交互,读写数据的模块。

SSM框架

Spring+SpringMVC+Mbatis

Mybatis

持久层框架,支持定制化sql,sql都写在xml里统一管理
(XML映射文件:Mapper.xml文件)

漏洞类型

XXE

XML解析一般在导入配置、数据传输接口等场景可能会用到,涉及到XML文件处理的场景可留意下XML解析器是否禁用外部实体,从而判断是否存在XXE。部分XML解析接口如下:

javax.xml.parsers.DocumentBuilder
javax.xml.stream.XMLStreamReader
org.jdom.input.SAXBuilder
org.jdom2.input.SAXBuilder
javax.xml.parsers.SAXParser
org.dom4j.io.SAXReader 
org.xml.sax.XMLReader
javax.xml.transform.sax.SAXSource 
javax.xml.transform.TransformerFactory 
javax.xml.transform.sax.SAXTransformerFactory 
javax.xml.validation.SchemaFactory
javax.xml.bind.Unmarshaller
javax.xml.xpath.XPathExpression

禁用外部实体的方法

SAXReader
sax.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
sax.setFeature("http://xml.org/sax/features/external-general-entities", false);
sax.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

TransformerFactory
TransformerFactory tf = TransformerFactory.newInstance();
tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");

XMLInputFactory
// This disables DTDs entirely for that factory
xmlInputFactory.setProperty(XMLInputFactory.SUPPORT_DTD, false); 
// disable external entities
xmlInputFactory.setProperty("javax.xml.stream.isSupportingExternalEntities", false);

SQL注入

ibatis/Mybatis

定位看Mybatis的配置文件
有两种传参方式$...$和进行预编译的#...#(ibatis)或${}``#{}(Mybatis)
大部分情况下会用#传参

易产生sql注入的情况,这些参数使用#会报错,只能用白名单过滤或者几种排序写成if,开发经常忽略。

1.like
Select * from news where title like ‘%${title}%’,
->select * from news where tile like concat(‘%’,#{title}, ‘%’),
2.in
Select * from news where id in (${id}),
->循环指令 select * from news where id in
<foreach collection="ids" item="item" open="("separator="," close=")">#{item} </foreach>

3.order by
Select * from news where title =‘京东’ order by ${time} asc,
->java层做映射,白名单

XSS

web.xml 找过滤器

越权

漏洞代码

@RequestMapping(value="/getUserInfo",method = RequestMethod.GET)
public String getUserInfo(Model model, HttpServletRequest request) throws IOException {
    String userid = request.getParameter("userid");
    if(!userid.isEmpty()){
        String info=userModel.getuserInfoByid(userid);
        return info;
    }
    return "";
}

controller层找请求,看请求资源和操作处是否绑定userid

CSRF

一般会在框架中修复,先熟悉框架中CSRF的防护方案
哪些框架?怎么防护?
查看增删改请求有没有带token

框架,第三方组件

XML文件查找、搜索CVE

URL重定向

【需要根据请求查看】
入参未做限制代码:

String site = request.getParameter("url");
if(!site.isEmpty()){
	response.sendRedirect(site);
}

审计函数

sendRedirect
setHeader
forward
...

任意文件操作,SSRF,命令执行

从请求找,结合黑盒测试

Noah747
关注
专栏目录
Java代码审计前置知识——SpringBoot基础
m0_61506558的博客
10-29 1146
(一)SpringBoot简介(一)SpringBoot简介1.1 回顾什么是SpringSpring是一个开源框架,2003 年兴起的一个轻量级的Java 开发框架,作者:Rod Johnson。1.2 Spring是如何简化Java开发的为了降低Java开发的复杂性,Spring采用了以下4种关键策略:1、基于POJO的轻量级和最小侵入性编程,所有东西都是bean;2、通过IOC,依赖注入(DI)和面向接口实现松耦合;3、基于切面(AOP)和惯例进行声明式编程;
[Java代码审计]——远程调试初探
Huamang的博客
09-18 470
Jar包的调试 这里以冰蝎做示例 把冰蝎的jar包和他必须的db数据库文件放到项目的lib目录下 把jar包添加到库 如下配置调试配置 新建远程JVM调试 JVM的命令行参数,根据JDK的版本去选择 然后比如在这打一个断点 然后在jar包目录下执行如下命令,后面的参数是刚刚配置调试的那个配置 注意这里,suspend要改成y,不然会卡不住断点,这个参数的意思是:是否等待调试器的接入 回到idea,debug就可以卡住断点了 Weblogic的远程调试 这里我们是以dacker来配合Idea进行代码
JAVA代码审计基础学习
GUN_C的博客
09-16 352
学习中
代码审计JAVA代码审计
weixin_30840573的博客
01-31 194
分享一些Java安全相关文章,其中大部分都涉及到代码的分析与审计。 大家总是在找Java代码审计的文章,但好像很多人选择性失明。 其实Java没有和PHP一样的简单,所以你觉得你看到的文章不是入门级的所以不认为这个是代码审计,所以会有种Java文章很少的错觉,其实这些都是代码审计。 #JAVA安全# #Jdk7u21 反序列化漏洞Gadget原理 链接:Jdk7u21 反序列化漏洞Gad...
Java中的代码审计
最新发布
weixin_46372265的博客
07-22 1090
代码审计,顾名思义,就是对代码进行系统的检查和分析,以发现潜在的问题或优化点。它不仅仅是寻找代码中的错误或漏洞,更是为了确保代码的质量、安全性和性能。代码审计可以分为手工审计和自动化审计两种方式。手工审计需要经验丰富的开发人员逐行检查代码,而自动化审计则借助各种工具和技术来高效地扫描和分析代码。
java 漏洞挖掘_挖JAVA_web网站漏洞,代码审计入门
weixin_39774808的博客
02-13 512
底层漏洞:1. 查看该系统所用框架:Struts2的相关安全:(1) 低版本的struts2,低版本的Struts2存在很多已知的版本漏洞。一经使用,很容易造成比较大的危害。(2) 开启 Struts2的动态调用方法,现在发现的如s2-033 ,s2-032等漏洞,都是由于系统开启了动态调用方法,导致远程代码执行。(3) 在jsp页面中使用Struts2的ognl表达式传输数据。(4) 开...
java代码审计ssrf危险函数_Java Web代码审计流程与漏洞函数
weixin_39847034的博客
02-28 1053
常见框架与组合常见框架Struts2SpringMVCSpring Boot框架执行流程View层:视图层Controller层:表现层Service层:业务层Dom层:持久层常见组合Spring+Struts2+HibernateSpring+SpringMVC+MybatisSpring Boot+Mybatis代码审计方法根据业务功能审计优点:明确程序的架构以及业务逻辑,明确数据流向,可以从...
Spring Boot Actuator 是 Spring Boot 的一个子项目。开发者只需少量工作,就可为应用添加若干种生产级服务。在这篇指南中,你将构建一个应用并学会如何添加这些服务。 你将构
longdan3105的博客
01-14 543
概述 本文重点介绍JAVA安全编码与代码审计基础知识,会以漏洞及安全编码示例的方式介绍JAVA代码中常见Web漏洞的形成及相应的修复方案,同时对一些常见的漏洞函数进行例举。文章最后分享一个自动化查找危险函数的python脚本。 XXE 介绍 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。文档类型定义(DTD)的作用是定义 XML 文档的合法构建模块。DTD 可以在 X
Java日志系统初探:掌握java.util.logging库的基础知识
[Java日志系统初探:掌握java.util.logging库的基础知识](https://howtodoinjava.com/wp-content/uploads/2013/04/Log4j-Log-Levels.png) # 1. Java日志系统概述 在当今的IT行业中,日志系统是不可或缺的组成部分。...
Java中高级核心知识
weixin_70730532的博客
06-02 1477
前言:java是一门面向对象的编程语言,功能强大、简单易用,可以编写桌面应用程序、Web应用程序、分布式系统和嵌入式系统应用程序等。在Java简单入门之后很多人不知道下一阶段该做什么,对自己的学习进程没有一个系统性的规划,或者是知道该学什么,却又找不到对应的内容。在这里我对上述问题做了一个整合,希望对大家有所帮助。目录:一、Java(一).基础1. Java基本功1.1.Java入门(基础概念与常识)1.1.1. Java语言有哪些特点?1.1.2.关于JVMJDK和JRE最详细通俗的解答1.1.2.1.J
java代码审计-java基础-3
Shanfenglan's blog
03-18 5334
1. 通过注入读取spring datasource配置信息 <%@ page contentType="text/html;charset=UTF-8" language="java" %> <%@ page import="org.springframework.context.ApplicationContext" %> <%@ page import="org.springframework.web.context.support.WebApplicationConte
Java代码审计入门篇
xiaoi123的博客
06-28 8036
作者:i春秋核心白帽yanzmi原文来自:https://bbs.ichunqiu.com/thread-42149-1-1.html本期斗哥带来Java代码审计的一些环境和工具准备。Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难,本文记录斗哥在开始去审计Java代码的一些准备,希望能够帮助到刚入门的新手朋友们。0×00 J...
JAVA代码审计实战班:详细授课目录曝光
Ms08067安全实验室
07-23 862
全新 JAVA代码审计实战培训 课程重磅来袭 直播培训的目标是让您学会 而不是仅仅给您一堆视频教程去看 私塾式小班精讲,可免费重听!招生人数:为保证授课质量,小班教学,每期班...
java代码审计基础知识(一)
qq_44029310的博客
06-04 1785
Java代码审计学习记录,本文包括Maven和SpringBoot的基础知识。
Java代码审计基础知识
buffedon的博客
08-30 627
Java代码审计 基础知识JSP生命周期War包结构JAVA 内置对象JAVA 中的危险函数名词概念 JSP生命周期 关键词:Web服务器,JSP容器,JVM(Java虚拟机),servlet 详细过程: 客户端向Web服务器发起 JSP网页请求 Web服务器将请求发送给JSP容器(中间件) JSP容器中的 JSP引擎 将 HTTP 请求转化为Servlet JSP引擎再将Servlet编译为 可执行的class类,并将原始请求交给Servlet引擎 Web服务器的某组件将会调用servlet引擎,然后载
java代码审计1之基础知识
赵花花08042的博客
10-30 300
1.项目构建工具 Maven Maven采用pom概念(project object model)来管理项目。 Pom.xml,用于管理源代码,配置文件开发者信息和角色,项目授权,项目的url,项目的依赖关系等。Dependencies和dependency用于定义依赖关系,dependency通过groupid,artifactid及version来定义所依赖的项目。 Swagger 再前后端开发和分析中,为减少和其他团队的沟通成本,会构建restful api文档来描述所有接口信息。 开源软件框架,
java代码审计-基础语法篇
Shanfenglan's blog
04-12 444
文章目录前言1. 基础语法2. 构造函数 前言 java是一个解释型的语言,可跨平台执行。一个 Java 程序可以认为是一系列对象的集合,而这些对象通过调用彼此的方法来协同工作,每个java文件都是一个类,同一文件夹下可以互相调用其他文件下的类,不同文件夹下可以通过import命令进行导入。 java中没有析构函数,finalize是用来回收内存的。 1. 基础语法 大小写敏感:Java 是大小写敏感的。 类名:对于所有的类来说,类名的首字母应该大写。如果类名由若干单词组成,那么每个单词的首字母应该大写。
java-sec-code xss和csrf
weixin_44687621的博客
08-19 373
XSS漏洞 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。 一般来说,只要将用户输入的数据不经任何处理就返回到前端,是极易产生XSS漏洞的。 反射型xss 为了让我们方便理解,作者这里没有使用其他花里胡哨的html页面 @RequestMapping("/reflect"
Java代码审计Java代码审计基础知识「二」
橙留香Park的博客
11-03 1246
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
使用Java进行2D游戏编程初探
"这是一本关于Java游戏编程的小手册,作者在文中探讨了使用Java进行游戏开发的可能性,特别是在2D游戏领域的应用。作者提到自己曾在小型游戏工作室工作,熟悉ActionScript和Flash,而现在更倾向于使用Java。在COVID-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值