【java代码审计】web漏洞挖掘(炼石计划)

已于 2022-08-07 16:36:50 修改
阅读量627 收藏
点赞数
分类专栏: java代码审计 文章标签: java
于 2022-08-07 16:34:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45158261/article/details/126212816
版权

框架

Spring boot

常见注解:
一、@Controller注解:标注该类为controller类,可以处理http请求。@Controller一般要配合模版来使用。现在项目大多是前后端分离,后端处理请求,然后返回JSON格式数据即可,这样也就不需要模板了。

二、@ResponseBody注解:将该注解写在类的外面,表示这个类所有方法的返回的数据直接给浏览器。 @RestController 相当于 @ResponseBody 加上 @Controller

三、@RequestMapping注解:配置URL映射,可以作用于某个Controller类上,也可以作用于某Controller类下的具体方法中,说白了就是URL中请求路径会直接映射到具体方法中执行代码逻辑。

四、@PathVariable注解:接受请求URL路径中占位符的值,示例代码如下图所示:

@Controller
@ResponseBody
@RequestMapping("/hello")
public class HelloController {
    @RequestMapping("/whoami/{name}/{sex}")
    public String  hello(@PathVariable("name") String name, @PathVariable("sex") String sex){
        return "Hello" + name + sex;
    }
}

五、@RequestParam注解:将请求参数绑定到你控制器的方法参数上(是springmvc中接收普通参数的注解),常用于POST请求处理表单。

Mybatis

常见路径src/main/resources/mapper中,配置文件命名为xxxMapper.xml

Swagger

swagger就是一个在你写接口的时候自动帮你生成接口文档的东西
在这里插入图片描述

Thymeleaf

模板引擎中的一种,Thymeleaf模板文件后缀名就是.html, 制作完成后,我们可以直接打开浏览效果

实战

信息收集

在这里插入图片描述

Druid 登录暴力破解

/druid/login.html

Spring boot Actuator未授权访问

/actuator
在这里插入图片描述

字典
在这里插入图片描述

Mvc模式

MVC是三个单词的首字母缩写,它们是Model(模型)、View(视图)和Controller(控制)
https://www.cnblogs.com/java-123/p/9174547.html

在这里插入图片描述

Javaweb目录

src/main 下面有两个目录,分别是java和resources

一、Java:存放的是java代码
二、Resources:存放的是资源文件,比如:html、js、css、配置文件

在这里插入图片描述

在java目录下还有其他常见的目录

annotation

放置项目自定义注解

Controller

存放控制器,接受从前端传来的参数,对访问控制进行转发、各类基本参数校验或者不复用的业务简单处理等

dao

数据访问层。与数据库进行交互,负责数据库操作,在mybatis框架中存放自定义的Mapper接口

entity

存放实体类

Interceptor

拦截器

Service

存放服务类,负责业务模块逻辑处理。Service层中有两种类,一是Service,用来声明接口;二是ServiceImpl,作为实现类实现接口中的方法

Utils

存放工具类

Filter

存放过滤器
在Resources目录下的目录

Mapper

存放mybatis的mapper.xml文件

Static

静态资源文件目录(Javascript、css、图片等),在这个目录中的所有文件可以被直接访问

Templates

存放模板文件

Application.properties或appcation.yml
Springboot 默认配置文件

请求流程
在这里插入图片描述

代码审计思路

1.信息收集 pom.xml

如果引入带有漏洞的版本就会出现问题,但有时会没有使用该功能
在这里插入图片描述

2.sql注入

1.使用mybatis的话,关注xxxMapper.xml中${}拼接sql的地方。

在这里插入图片描述

2.跳转到dao层

在这里插入图片描述

3.查看谁用了这个方法(service层)

按住Ctrl键,进入函数
在这里插入图片描述

UserServiceImpl.java实现UserService接口

在这里插入图片描述

4.找到web传参的路径(conctrller层)

按住Ctrl键,选择函数进入contrller层

在这里插入图片描述在这里插入图片描述

白鸽i
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于人机协同的漏洞挖掘框架设计
qq_61890005的博客
05-19 17
异常处理是指,当模糊测试工具长时间陷入覆盖率停滞状态时,该框架允许专家介入程序现场,通过逆向分析的方法判断当前程序是已经达到了覆盖率饱和状态,还是无法通过某些路径,专家可以手动分析该路径的约束条件,从而修改种子或修改模糊测试工具的字典,以通过该路径约束,crash 分析是指当模糊测试工具发现 crash 时,需要对所得的种子进行 crash 分析,判断 crash 成因并生成 poc。同时,进行另一个实验测试,将专家指导的快速到达目标点的策略引入 AFLGo,专家在不同阶段进行不同的种子筛选策略。
Java代码审计(入门篇).pdf
10-21
本书可以作为Java开发人员的代码审计入门宝典与安全开发实战指南,帮助开发人员了解安全人员做Web漏洞挖掘时在想什么,并思考、绘制属于自己的Java安全知识、技能结构图,能知己知彼,百战不殆。 本书《Java代码...
java 漏洞挖掘_挖JAVA_web网站漏洞,代码审计入门
weixin_39774808的博客
02-13 454
底层漏洞:1. 查看该系统所用框架:Struts2的相关安全:(1) 低版本的struts2,低版本的Struts2存在很多已知的版本漏洞。一经使用,很容易造成比较大的危害。(2) 开启 Struts2的动态调用方法,现在发现的如s2-033 ,s2-032等漏洞,都是由于系统开启了动态调用方法,导致远程代码执行。(3) 在jsp页面中使用Struts2的ognl表达式传输数据。(4) 开...
基于Python的web漏洞挖掘扫描技术的实现与研究【附源码,文档】
最新发布
徐师兄的博客
05-13 926
本次技术通过利用Python技术来开发一款针对web漏洞挖掘扫描的技术,通过web漏洞的挖掘扫描来实现对网站URL的漏洞检测,通过高中低风险的判断来实现对一款网站中存在的漏洞进行可视化的分析,从而能够找到问题并且尽快的实现问题的解决。网络漏洞扫描技术能够通过以攻击者的视角出发,通过模拟对程序的攻击来认识到程序可能存在的风险,从而更快速的找到问题的所在,实现有效的漏洞补丁完善等功能实现。漏洞挖掘扫描技术是一种主动的防御过程,是未雨绸缪的一种防护手段。
java代码审计ssrf危险函数_Java Web代码审计流程与漏洞函数
weixin_39847034的博客
02-28 1022
常见框架与组合常见框架Struts2SpringMVCSpring Boot框架执行流程View层:视图层Controller层:表现层Service层:业务层Dom层:持久层常见组合Spring+Struts2+HibernateSpring+SpringMVC+MybatisSpring Boot+Mybatis代码审计方法根据业务功能审计优点:明确程序的架构以及业务逻辑,明确数据流向,可以从...
[ 代码审计篇 ] Java 代码审计常用漏洞总结
qq_51577576的博客
12-30 970
主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯:跟踪用户的输入数据, 判断数据进入的每一个代码逻辑是否有可利用的点, 此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。敏感函数参数回溯, 根据敏感函数, 逆向追踪参数传递的过程。这个方法是最高效, 最常用 的方法。大多数漏洞的产生是因为函数的使用不当导致的, 只要找到这些函数, 就能够快速 挖掘想要的漏洞。以下是基于关键词审计技巧总结:在搜索时要注意是否为整个单词, 以及小写敏感这些设置。
Web漏洞挖掘
Daisy花园
07-14 4376
写这篇文章不是为了去攻击其他的网站,只是为了重视web安全。Web安全的分类1. XSS攻击什么是XSS攻击xss攻击:cross-site scripting 故名思议,跨站点脚本注入。是指在一些页面通过注入一些script脚本或者actionScript脚本,而达到攻击的目的。XSS攻击的类型 反射型XSS(非持久性XSS),通过注入一些脚本 存储型XSS(持久型XSS),能存储在服务器端,比如
101web漏洞挖掘之任意文件读取漏洞1
08-03
1. **白盒挖掘**:通过代码审计,查找涉及文件操作的关键字,如`download`、`filename`、`file`、`name`、`dir`等,分析处理函数是否进行了有效的过滤和限制。 2. **payload构造**:使用如`../../../../../../`等...
基于Java Web的反序列化信息安全漏洞挖掘研究.pdf
03-31
挖掘和防范这些漏洞需要深入理解Java Web应用程序的工作原理和反序列化流程。研究人员和安全专家通常会关注以下关键点: 1. **组件版本检查**:确定应用程序中使用的库版本,特别是与序列化和反序列化相关的组件,...
fastjson在一些特殊场景下的漏洞挖掘与利用 .pdf
09-05
2. **代码审计**:对使用Fastjson的代码进行深度审计,查找可能的不当使用,如过度信任用户输入,未正确配置autotype等。 3. **强化WAF规则**:根据新发现的Fastjson漏洞,及时更新WAF的检测规则,提高对这类攻击的...
各种学习资料 Android Python Java Java web C语言 C++ 汇编 Android逆向 A.zip
02-21
8. **Android逆向工程**:Android逆向工程是研究和分析Android应用程序的技术,通常用于安全审计、漏洞挖掘和恶意软件分析。学习逆向工程需掌握反编译工具(如dex2jar、Apktool)、动态调试(如 Frida)、静态分析...
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以未授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API集
WEB漏洞挖掘——思路指南
lmf_goste的博客
12-30 8377
本篇主要记录了WEB漏洞挖掘过程中的信息收集部分,web渗透最重要的便是信息收集,希望以下内容能够给予在漏洞挖掘中迷茫的小伙伴一些帮助。 目录 信息收集 子域名 注意是否存在WAF 工具类 边缘资产 ICP备案查询 敏感信息收集 信息收集 信息收集的目的是为了更多的收集目标资产,扩大我们的渗透范围。WEB漏洞更多的存在于一些边缘资产和隐蔽的资产中。 子域名 在其他信息收集的过程中也可以先将域名放到文本中,最后进行去重 注意是否存在WAF 若检测存在WAF,扫描时需要降..
java 漏洞挖掘_Java反序列化漏洞的挖掘、攻击与防御
weixin_39902608的博客
02-13 209
一、Java反序列化漏洞的挖掘1、黑盒流量分析:在Java反序列化传送的包中,一般有两种传送方式,在TCP报文中,一般二进制流方式传输,在HTTP报文中,则大多以base64传输。因而在流量中有一些特征:(1)TCP:必有aced0005,这个16进制流基本上也意味者java反序列化的开始;(2)HTTP:必有rO0AB,其实这就是aced0005的base64编码的结果;以上意味着存在Java反...
Java转网络安全渗透测试,挖漏洞真香啊
liuhyusb的博客
07-06 807
渗透测试这名字听起来有一种敬畏感,给人一种很难的感觉。渗透测试 (penetration test) 并没有一个标准的定义,一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。简而言之:渗透测试就是测试软件的安全性。渗透测试执行标准[1] 介绍了做渗透测试的 7 个步骤:测试前交互。这步主要确定的是测试范围,哪些测试行为是禁止的。情报收集。这步主要收集目标尽可能多的信息。威胁建模。这步主要了解目标潜在的威胁。
JAVAWEB代码审计技巧方法
weixin_41872749的博客
07-27 1020
JAVA代码审计技巧方法 在JAVA WEB代码审计中,首先要做的就是确定项目的依赖库组织形式,其次就是确定项目所使用的框架。 1.依赖库组织形式确定。组织形式一般有两类,maven与lib文件夹的依赖形式。maven组织形式必然存在pom.xml配置文件,该配置文件中标识了项目中所使用到的各类框架以及工具集,名称与版本。lib组织形式一般在src\main\webapp\WEB-INF\lib下存在大量jar包,其命名方式未库名+版本号形式。 **2.**项目所使用的框架确定。 如果是maven组织形式,
CVE-2023-21292 AMS框架层高危漏洞分析
道阻且长,行则将至。
08-20 1030
本周在分析 Google 官方发布的 Android 2023 年8 月安全公告涉及的漏洞补丁的时候,遇到一个有意思的漏洞:CVE-2023-21292,本文来详细分析下该漏洞的前世今生。
J2EE框架DDoS漏洞预警公告
D的专栏
06-07 705
转自: http://www.inbreak.net/archives/543http://www.exploit-db.com/exploits/31615/J2EE框架DDoS漏洞预警已确认被成功利用的软件及系统:大部分常见J2EE WEB框架STRUTS1全版本(只影响使用uploadform的action)STRUTS2全版本(任何一个action都受影响)Spring MVC全版本(任何...
漏洞挖掘技巧-开源程序漏洞挖掘
告白的博客
12-20 5055
挖掘漏洞的时候挖掘的对象的框架涉及到两种: > 第一种是闭源框架,闭源框架里面涉及到两种,一是个人开发,不对外使用,或者未公开,二是商用型,需要甲方购买使用,这些一般都是闭源的,很难拿到源码。 > 第二种是开源框架,也就是我们今天要讲的,开源框架既你可以在网上获取到源码信息。能够获取到源码。那操作空间不就来了嘛?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值