[ 代码审计篇 ] Java 代码审计常用漏洞总结

最新推荐文章于 2024-01-24 23:03:11 发布
最新推荐文章于 2024-01-24 23:03:11 发布
阅读量1k 收藏 6
点赞数 3
分类专栏: 代码审计 入门到精通 文章标签: 代码审计 java web 总结篇 代码审计关键字 代码审计漏洞集合
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51577576/article/details/128499865
版权

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

前言

主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯:
跟踪用户的输入数据, 判断数据进入的每一个代码逻辑是否有可利用的点, 此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。
敏感函数参数回溯, 根据敏感函数, 逆向追踪参数传递的过程。这个方法是最高效, 最常用 的方法。大多数漏洞的产生是因为函数的使用不当导致的, 只要找到这些函数, 就能够快速 挖掘想要的漏洞。
以下是基于关键词审计技巧总结:在搜索时要注意是否为整个单词, 以及小写敏感这些设置

1、密码硬编码、密码明文存储

关键词:password、pass、jdbc
审计方法:密码硬编码最容易找,直接用 Sublime Text 打开项目目录,然后按 Ctrl + Shift + F 进行全局 搜索 password 关键词。

2、XSS

关键词:getParamter、<%=、param.
审计方法: 反射型 XSS 一般 fortify 一般都能扫描出来,如果是手工找,可全局搜索以下关键词。

3、SQL 注入

关键词:Select、Dao、from、delete、update、insert
审计方法:SQL 注入一般 fortify 一般都能扫描出来,手动找的话,一般直接搜索 select 、update 、delete 、insert 关键词就会有收获,如果 sql语句中有出现+append 、 $ () # 等字眼, 如果没有配置 SQL 过滤文件, 则判断存
在 SQL 注入漏洞。

4、任意文件下载

关键词:download、fileName、filePath、write、getFile、getWriter
审计方法:全局搜索关键词。

5、任意文件删除

关键词:Delete、deleteFile、fileName、filePath
审计方法: 任意文件删除漏洞搜索关键词。

6、文件上传

关键词:Upload、write、fileName、filePath
审计方法:文件上传可以搜索关键词, 需注意有没有配置文件上传白名单。

7、命令注入

关键词:getRuntime、exec、cmd、shell
审计方法:全局搜索关键词。

8、缓冲区溢出

关键词:strcpy,strcat,scanf,memcpy,memmove,memeccpy,Getc(),fgetc(),getchar;read,printf
审计方法:主要通过搜索关键词定位, 再分析上下文。

9、XML 注入

关键词:DocumentBuilder、XMLStreamReader、SAXBuilder、SAXParser SAXReader 、XMLReader、
SAXSource、TransformerFacto、SAXTransformerFactory、SchemaFactory
审计方法:XML 解析一般在导入配置、数据传输接口等场景可能会用到,可全局搜索关键词。

10、反序列化漏洞

关键词:ObjectInputStream.readObject、ObjectInputStream.readUnshared 、XMLDecoder.readObject Yaml.load 、
XStream.fromXML、ObjectMapper.readValue 、 JSON.parseObject
审计方法:
Java 程序使用 ObjectInputStream 对象的 readObject 方法将反序列化数据转换为 java 对象。 但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入, 让反序列化 产生非预期的对象, 在此过程中执行构造的任意代码。
反序列化操作一般在导入模版文件、网络通信、数据传输、日志格式化存储、对象数据落磁 盘或 DB 存储等业务场景,在代码审计时可重点关注一些反序列化操作函数并判断输入是否可控。

11、url 跳转

关键词:sendRedirect 、setHeader 、forward
审计方法:全局搜索关键词。

12、不安全组件暴露

关键词:activity、Broadcast Receiver、Content Provider 、
Service、inter-filter
审计方法:全局搜索关键词。

13、日志记录敏感信息

关键词:log、log.info、logger.info
审计方法:全局搜索关键词。

14、代码执行

关键词:eval、system、exec
审计方法:全局搜索关键词,存在这些函数就可能存在代码执行命令。

_PowerShell
关注
专栏目录
漏洞审计
Vdieoo的博客
10-30 463
SQL注入 SQL 注入一般 fortify 都能扫描出来,手动审计一般直接搜索 select、update、delete、insert 关键词就会有收获如果 sql 语句中有出现 + append、 $() # 等字眼,如果没有配置 SQL 过滤文件,则判断存在 SQL 注入漏洞。 当找到某个变量关键词有 SQL 注入漏洞时,还可以直接全局搜索那个关键词找出类似漏洞的文件,比如涉及SQL 注入漏洞的参数等等 !!注意全局过滤变量的引入 框架注入漏洞 像Struts2 远程代码执行漏洞这样的.
java代码审计web漏洞挖掘(炼石计划)
小白鸽
08-07 675
java代码审计
java代码审计之常见漏洞学习
weixin_51725318的博客
08-18 449
java代码审计之常见漏洞学习
JAVA漏洞简单总结
carrot11223的博客
01-24 3171
当使用post提交数据与后端通过数据库查询出来的值做比较时,如果s1=1&s2=2失败的话,说明s1和s2的值不满足要求,我没也不知道数据库这两个值到底是什么,现在使用s3=&s4=有可能就可以绕过,因为数据库如果没有s3和s4的话,提交的null值,从数据库查出来的也是null值,最终判断就是可以相等的。真实情况是还要考虑其他复杂的因素。JWT:和以前学过的cookie/session有些类似,也是用来验证用户身份的,在php,Java等语言中都有出现过,不过最常使用在Java/Python项目上。
PHP代码审计学习总结
cnbird's blog
03-06 1840
0×01 引言 PHP是一种被广泛使用的脚本语言,尤其适合于web开发。具有跨平台,容易学习,功能强大等特点,据统计全世界有超过34%的网站有php的应用,包 括Yahoo、sina、163、sohu等大型门户网站。而且很多具名的web应用系统(包括bbs,blog,wiki,cms等等)都是使用php 开发的,Discuz、phpwind、phpbb、vbb、wordpress、boblog等
代码审计常见漏洞总结
qq_41739275的博客
08-18 1871
代码审计常见漏洞总结 代码审计,说白了就是白盒测试,审查代码检查是否有安全问题,核心就两点:跟踪用户输入数据+敏感函数参数回溯。 关键词查询 密码硬编码(密码明文存储)——即将密码直接以明文的形式写在代码中,既不安全,也难以维护:password,pass,pwd,jdbc等 传送门:密码硬编码详情 反射型XSS——从用户那儿获取参数中的值,未经检查参数合法性的情况下,直接输出在js代码中,产生脚本攻击:getParameter,<%=,param等 存储型XSS——指非法数据存入到数据库中,每次加
Java代码审计漏洞挖掘(入门)
Ms08067安全实验室
11-10 4670
出品|MS08067实验室(www.ms08067.com)双十一最有意义的事情莫过于是学习一门高级渗透技术了!代码审计属于高级渗透测试服务的一环,顾名思义就是检查源代码中的安全缺陷,检查...
JAVA代码审计常用漏洞总结
12-11
主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯: 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑 可以是一个函数,或者是条小小的条件判断语句。 敏感函数参数回溯,...
Java代码审计案例及修复
12-22
Java 代码审计案例及修复旨在提供一个 Java 代码审计的实践指南,涵盖了 Java 代码审计的基本概念、安全编码规范、漏洞示例和修复方法等内容。 安全编码规范 在 Java 编程中,安全编码规范是非常重要的,它可以...
php-java+代码审计+代码审计软件seay+程序员+挖洞+代码审计漏洞查找+生成代码审计报告
03-08
代码审计是确保软件质量、防止安全漏洞和提高代码可维护性的重要手段。 **Seay源代码审计系统** Seay源代码审计系统是一款专门针对PHP源代码的安全审计工具,由Seay团队开发。该系统2.1版本提供了更强大的审计功能...
代码审计报告完整版.pdf
10-04
代码审计报告完整版.pdf
Java代码审计(入门).pdf
10-21
本书的主要内容包括:Java代码审计的基础知识、审计流程、常用工具和相关的经典案例等。书中还结合具体案例进行讲解,让读者身临其境,快速了解和掌握主流的Java代码安全审计技巧。 本书的特点是:浅入深、全面、...
#资源分享达人# 代码审计[java安全编程].doc.zip
08-03
【描述】:“#资源分享达人# 代码审计java”进一步强调了这个主题集中在Java语言的代码审计过程,这是软件开发中的一个重要环节,它旨在发现并修复可能导致数据泄露、注入攻击、权限滥用等安全问题的代码片段。...
java代码审计报告_审计档案管理系统 - WEB源码|JSP源码/Java|源代码 - 源码中国...
weixin_39932939的博客
03-02 328
压缩包 : 445848审计档案管理系统.rar 列表myprojectmyproject\myproject.jpxmyproject\myproject.jpx.localmyproject\myproject.jpx.local~myproject\myproject.jpx~myproject\bakmyproject\bak\myprojectmyproject\bak\myprojec...
代码审计-JAVA项目框架类漏洞分析报告
m0_61506558的博客
10-07 578
Spring Expression Language(缩写为SpEL)是一种强大的表达式语言。在Spring产品组合中,它是表达式计算的基础。它支持在运行时查询和操作对象图,它可以与基于XML和基于注解的Spring配置还有bean定义一起使用。由于它能够在运行时动态分配值,因此可以为我们节省大量Java代码。
java代码审计的点
Candyz7的博客
09-02 348
首先看pom.xml查看第三方组件和第三方组件的版本log4j2远程代码执行Fastjson反序列化远程代码执行SQL注入Struts2命令执行Shiro反序列化中间件........
二次漏洞审计
chaojixiaojingang
08-13 694
二次漏洞有点像存储型XSS漏洞,payload插进去了,能不能利用还得看页面输出有没有过滤,这一类漏洞挖掘起来逻辑会复杂许多。 什么是二次漏洞 需要先构造好利用代码写入网站保存,在第二次或者多次请求后调用攻击代码触发或者修改配置触发的漏洞叫做二次漏洞。 二次漏洞的出现归根结底是开发者在可新数据的逻辑上考虑不周全,整个漏洞产生的流程图如下图所示: 这样的漏洞没有很大的逻辑关系,所以在发现和修补上面...
JAVA代码审计(1)
qq_38483146的博客
09-29 1383
1.代码审计开始 首先代码审计要从漏洞原理开始,需要了解基本漏洞的产生原理,比如SQL注入、XSS、XXE、反序列化、溢出等等(推荐《Web安全深度解析》认识基本漏洞就够了),当然还有业务流程方面的一些漏洞,比如业务流程跳跃、认证缺陷等。 2.第一先从最近本的漏洞开始,借助审计靶场。 2.1靶场环境搭建 至此准备工作已经完成 注:如果Tomcat启动后正常是一些乱码,如果没有启动起来,前端是无法访问的。 2.2访问前端 (浏览器访问本地地址,127.0.0.1/) 可以按照地址连接配置,建议第四种
基于ssm的二手车交易网站设计与实现.docx
最新发布
09-17
基于ssm的二手车交易网站设计与实现.docx
"Java代码审计案例及修复手册:深入理解Java源代码漏洞及修缮方法
总结来说,Java代码审计是保障系统安全的重要环节,通过对代码进行全面的审查和评估,可以发现并修复存在的安全漏洞和问题,确保系统的安全性和稳定性。同时,开发人员也应该在编写代码时,遵循安全编码的规范和最佳...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_PowerShell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值