代码审计-java项目-组件漏洞审计

最新推荐文章于 2024-05-05 20:51:43 发布
最新推荐文章于 2024-05-05 20:51:43 发布
阅读量583 收藏
点赞数
分类专栏: 代码审计 文章标签: java web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51345235/article/details/132326735
版权

代码审计必备知识点:

1、代码审计开始前准备:

环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。

2、代码审计前信息收集:

审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等。

3、代码审计挖掘漏洞根本:

可控变量及特定函数,不存在过滤或过滤不严谨可以绕过导致的安全漏洞。

4、代码审计展开计划:

审计项目漏洞原理->审计思路->完整源码->应用框架->验证并利用漏洞。

代码审计两种方法

功能点或关键字分析可能存在的漏洞

   -抓包或搜索关键字找到代码出处及对应文件。

   -追踪过滤或接收的数据函数,寻找触发此函数或代码的地方进行触发测试。

 

   -常规或部分MVC模型源码可以采用关键字的搜索挖掘思路。

   -框架 MVC 墨香源码一般会采用功能点分析抓包追踪挖掘思路。

1.搜索关键字找敏感函数

2.根据目标功能点判断可能存在的漏洞

案例:CNVD-悟空CRM9.0JAVA)-Fastjson组件

1.根据cnvd公开的漏洞信息得知悟空CRM9.0存在命令执行漏洞。

2.下载悟空CRM9.0源码:https://github.com/72wukong/72crm-9.0-JAVA    。将源码导入到IntelliJ IDEA ,部署好环境,启动服务器。

3.进入IntelliJ IDEA,第一步就是打开pom.xml文件,查看项目引用了哪些组件。

当将鼠标移动到fastjson组件时提示使用的1.2.54版本存在漏洞。

4.搜索fastjson组件产生过的历史漏洞,找到对应版本的漏洞,查看漏洞利用信息。

5.知道产生的漏洞之后还需要知道fastjson在源码中是怎么使用的。

搜索后得知:使用fastjson时最常用的方法就是parseobject()。所以就可以在源码中搜索  parseobject  确认源码中使用fastjson的位置

6.全局搜索queryTaskByWorkId方法,看是谁调用了,路由地址是多少。

7.通过跟踪代码得知路由地址为:work/queryTaskByWorkId     需要以post方式传递json参数,

数据类型为:Content-Type:application/json;charset=UTF-8

8.访问路由地址抓包修改。配合dnslog测试是否成功执行命令——传递的json数据:{"@type":"java.net.Inet4Address","val":"dnslog地址"}

9.dnslog成功接收到请求信息,漏洞存在。

xiaoheizi安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java代码审计中常见的漏洞(六)
武天旭的博客
03-03 548
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 1 GET请求敏感信息 2 Cookie存储明文信息 3 不安全的反序列化 4 HTTP响应缓存泄露 5 拒绝服务 6 日志伪造 7 跨站脚本XSS 1、GET请求敏感信息 详细信息 程序使用GET方法来处理请求,会通过浏览器的历
Java代码审计之远程命令执行漏洞(REC)详解
悦分享
01-23 346
在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用 代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。RCE漏洞,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。很多人喜欢把代码执行漏洞称为命令执行漏洞,因为命令执行漏洞可以执行系统命令,而代码执行漏洞也会执行系统命令,这样就容易混淆。
Java代码审计(7)Sql注入审计
划水的小白白
01-25 2431
1、基础 1.1 常见注入点 1.2 数据库特性 1.2.1 数据库特定表 1.2.2 注释符 1.2.3 数据库报错 1.2.4 MySQL 5.0 中information_schema表 1.3 SQL注入靶场 1.4 框架 2、JDBC初探 2.1 JDBC执行对象 2.2 Statement 2.3 PreparedStatement(预编译) 2.4 CallableStatement 3、Mybatis框架安全 3.1 MyBatis使用 3.1.1 MyBatis了解 3.1.2 MyBat
Java代码漏洞检测-常见漏洞与修复建议
dzqxwzoe的博客
02-24 1747
银保等金融类企业信息安全处的安全扫描一般分为五项,主机漏洞,主机基线漏洞代码检测漏洞,渗透测试漏洞,WEB扫描漏洞,以下漏洞代码漏洞.代码检测常用工具:奇安信代码卫士存储型XSS是指应用程序通过Web请求获取不可信赖的数据,并且在未检验数据是否存在XSS代码的情况下,将其存入数据库。当程序下一次从数据库中获取该数据时,致使页面再次执行XSS代码。存储型XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器
2024年Java最新Java代码审计之SpEL表达式注入漏洞分析_spel 代码审计(1),Java程序员需要掌握的知识
最新发布
2301_82243769的博客
05-05 555
表达式注入是 Java 安全中一类常见的能够注入命令并形成 RCE 的漏洞,而常见的表达式注入方式有 EL 表达式注入、SpEL 表达式注入和 OGNL 表达式注入等。本文将通过调试分析 CVE-2022-22963 漏洞来入门学习 SpEL 表达式注入漏洞的原理。
Java代码审计&Mybatis注入&文件上传&下载&读取
qq_46081990的博客
12-22 1926
本文以 Ruoyi、Inxedu、Oasys、Tmall 等项目案例介绍了Mybatis注入、文件上传&下载&读取的代码审计,介绍了审计思路:1、寻找并测试文件上传功能点,抓包得到对应路由等信息,从而定位到功能实现的具体代码代码溯源),然后审计其是否存在漏洞;2、通过搜索 Java 文件操作常用函数,定位到功能点对应代码段,审计其是否存在漏洞(常规审计思路)。此外,详细介绍了审计流程,如何跟进等等。
JAVA代码审计之Shiro反序列化漏洞分析
m0_61331407的博客
03-14 258
在清楚了各个大厂的面试重点之后,就能很好的提高你刷题以及面试准备的效率,接下来小编也为大家准备了最新的互联网大厂资料。在清楚了各个大厂的面试重点之后,就能很好的提高你刷题以及面试准备的效率,接下来小编也为大家准备了最新的互联网大厂资料。[外链图片转存中…(img-qcXastRl-1710353228358)][外链图片转存中…(img-FUzW0wiI-1710353228358)][外链图片转存中…(img-Kv5k7smt-1710353228359)]
Java代码审计
2301_76786857的博客
03-11 1629
Java 是一种跨平台的编程语言,具有良好的可移植性和灵活性,因此在各种应用领域得到了广泛应用。从企业级应用到移动应用,从 Web 应用到嵌入式系统,Java 都有着重要的地位。然而,由于 Java 的普及性和复杂性,其中的安全漏洞代码缺陷也变得更加普遍。 Java 代码审计是对使用Java编写的软件代码进行全面检查和分析,通过白盒的方式发现其中的安全漏洞和潜在风险,代码审计已成为保护网络安全性的重要手段之一。
代码审计(Java)——WebGoat_Xss
weixin_45260839的博客
08-16 655
代码审计(Java)——WebGoat_Xss
《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜安全
04-22 4530
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。
JAVA代码审计之WebGoat靶场SQL注入
道阻且长,行则将至。
07-22 3043
文章目录前言WebGoatIDEA部署靶场No.1 回显注入No.2 布尔盲注 前言 为了从自己相对熟悉的 JAVA 语言开始着手学习代码审计(渗透工程师的必经之路啊……),本文利用 WebGoat 源码在本地 IDEA 搭建 WebGoat 站点并进行漏洞审计分析。WebGoat8 是基于 Spring boot 框架开发的、故意不安全的 Web 应用程序,旨在教授 Web 应用程序安全性课程,该程序演示了常见的服务器端应用程序缺陷。 WebGoat 实际上选择 WebGoat 进行源代码审计学习的主要
41-谈一谈java代码审计1
08-03
1、程序员编码不当,编码时未考虑安全性 2、第三方组件使用不当 1、程序员由于编码不当产生的漏洞,典型包括后门、SQL注入、文件上传、任意文件 2、第三方组件使
P神-Java安全漫谈
04-20
Java开发人员需要及时更新和升级Java平台和相关组件,以确保应用程序不受已知漏洞的影响。 安全审计和监控:Java应用程序的安全性还需要进行定期的审计和监控,以检测异常行为、潜在的攻击和安全事件。安全审计和...
coverity代码审计2022年9月份使用手册
11-07
《Coverity代码审计2022年9月使用手册》是Synopsys公司为开发者提供的一款强大的静态代码分析工具的详细指南。Coverity分析器旨在帮助开发者在编码阶段就能发现并修复潜在的软件缺陷和安全漏洞,从而提高软件质量与...
Java安全漫谈与java代码审计学习知识库
04-06
6. **Java代码审计**:代码审计是检查代码以发现潜在安全漏洞的过程。这涉及到对源代码和字节码的深度分析,寻找可能的注入漏洞、未初始化的变量、不安全的输入验证、不正确的异常处理等。使用静态代码分析工具(如...
python 代码审计项目.zip
01-16
在这个项目中,我们将关注Python编程语言,特别是针对基于Python3.7的Web框架Django 2.2.6和Flask 1.1.2的代码审计。以下是关于这个项目的一些关键知识点: 1. **Python3.7**: Python3.7是Python的一个主要版本,它...
Java代码审计之SpEL表达式注入漏洞分析
道阻且长,行则将至。
12-07 602
表达式注入是 Java 安全中一类常见的能够注入命令并形成 RCE 的漏洞,而常见的表达式注入方式有 EL 表达式注入、SpEL 表达式注入和 OGNL 表达式注入等。本文将通过调试分析 CVE-2022-22963 漏洞来入门学习 SpEL 表达式注入漏洞的原理。
[Java代码审计]—MCMS
Sentiment的博客
03-03 1781
利用 idea 打开项目创建数据库 mcms,导入修改中关于数据库设置参数启动项目登录后台,账户名:密码 msopen:msopen。
java代码审计_Java代码审计入门篇
weixin_39923945的博客
02-12 745
本期斗哥带来Java代码审计的一些环境和工具准备。Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难,本文记录斗哥在开始去审计Java代码的一些准备,希望能够帮助到刚入门的新手朋友们。0×00 Java环境说明1. 安装Java环境安装完成后默认的安装目录:环境变量的配置,环境变量配置主要是告诉我们自己的电脑Java安装完后几个...
Java代码审计案例及修复
12-22
Java代码审计案例及修复

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaoheizi安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值