1.代码审计开始篇
首先代码审计要从漏洞原理开始,需要了解基本漏洞的产生原理,比如SQL注入、XSS、XXE、反序列化、溢出等等(推荐《Web安全深度解析》认识基本漏洞就够了),当然还有业务流程方面的一些漏洞,比如业务流程跳跃、认证缺陷等。
2.第一篇先从最近本的漏洞开始,借助审计靶场。
2.1靶场环境搭建
至此准备工作已经完成
注:如果Tomcat启动后正常是一些乱码,如果没有启动起来,前端是无法访问的。
2.2访问前端
(浏览器访问本地地址,127.0.0.1/)
可以按照地址连接配置,建议第四种方法。
http://breakthesecurity.cysecurity.org/2015/03/hacking-java-web-applications.html
2.3先拿反射型XSS举例
,下次咱们再细聊每一个漏洞
2.4前端测试举例
这个前端测试区域,可以看到是一个搜索输入框,所以真实的业务场景中多数XSS漏洞也在某些有回显的地方存在。我们在实际做代码审计的工作时,可能无法跑起来程序也就无法查看前端的场景,所以存在漏洞的代码原理就需要掌握了。(原理部分需要一个章节一个章节的介绍)
提醒大家实际测试时不要在使用alert(1),基本被过滤了。推荐使用
下面展示一些 内联代码片
。
<img/%00/src=“worksinchrome:prompt(1)”/%00/οnerrοr=‘eval(src)’>,结果如上图所示。