Java安全技术及代码审计技巧

已于 2024-03-20 07:08:14 修改
阅读量389 收藏
点赞数 7
分类专栏: java安全 文章标签: java 安全 开发语言
于 2024-03-20 06:57:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_17584329/article/details/136861649
版权

概述
Java安全编码和代码审计是确保Java应用程序安全性的重要环节。本文旨在介绍Java中常见的Web漏洞、安全编码示例以及一些常见漏洞函数,并提供一个自动化查找危险函数的Python脚本。

1. XML外部实体 (XXE) 漏洞

介绍
XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。文档类型定义(DTD)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。

内部声明DTD:

<!DOCTYPE 根元素 [元素声明]>

引用外部DTD:

<!DOCTYPE 根元素 SYSTEM "文件名">

当允许引用外部实体时,恶意攻击者可构造恶意内容访问服务器资源,如读取/etc/passwd文件:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE replace [
<!ENTITY test SYSTEM "file:///etc/passwd">]>
<msg>&test;</msg>

修复方案
关闭外部实体的解析,例如在DocumentBuilderFactory中禁用外部实体:

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
dbf.setExpandEntityReferences(false);

示例代码中,存在一个典型的XML外部实体 (XXE) 漏洞。攻击者可以通过提交包含恶意DTD和实体引用的XML数据来利用这个漏洞。下面是一个展示这个漏洞的示例代码:

import org.dom4j.Document;
import org.dom4j.Element;
import org.dom4j.io.SAXReader;
import java.io.ByteArrayInputStream;
import java.util.Iterator;
import java.util.List;
import java.util.Map;
import javax.servlet.http.HttpServletRequest;

public class XXEVulnerabilityExample {
    public void parseXml(HttpServletRequest request, Map<String, Object> modelMap) throws Exception {
        String xmldata = request.getParameter("data");
        SAXReader sax = new SAXReader(); // 创建一个SAXReader对象
        Document document = sax.read(new ByteArrayInputStream(xmldata.getBytes())); // 获取document对象
        Element root = document.getRootElement(); // 获取根节点
        List<?> rowList = root.selectNodes("//msg");
        Iterator<?> iter1 = rowList.iterator();
        if (iter1.hasNext()) {
            Element beanNode = (Element) iter1.next();
            modelMap.put("success", true);
            modelMap.put("resp", beanNode.getTextTrim());
        }
        // ...
    }
}

这将导致应用程序尝试读取服务器上的/etc/passwd文件,并将其内容作为响应返回

攻击者可以提交类似以下的XML数据来利用这个漏洞:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE replace [
<!ENTITY test SYSTEM "file:///etc/passwd">]>
<root>
    <msg>&test;</msg>
</root>

这将导致应用程序尝试读取服务器上的/etc/passwd文件,并将其内容作为响应返回。

为了修复这个漏洞,您可以通过配置SAXReader来禁用对外部实体的解析:

import org.dom4j.io.SAXReader;

SAXReader sax = new SAXReader();
sax.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
sax.setFeature("http://xml.org/sax/features/external-general-entities", false);
sax.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
rockmelodies
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
JAVA代码审计常用漏洞总结
12-11
主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯: 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑 可以是一个函数,或者是条小小的条件判断语句。 敏感函数参数回溯,根据敏感函数,逆向追踪参数传递的过程。这个方法是最高效,最常用 的方法。大多数漏洞的产生是因为函数的使用不当导致的,只要找到这些函数,就能够快速挖掘想要的漏洞。
Java代码审计(入门篇).pdf
10-21
本书可以作为Java开发人员的代码审计入门宝典与安全开发实战指南,帮助开发人员了解安全人员做Web漏洞挖掘时在想什么,并思考、绘制属于自己的Java安全知识、技能结构图,能知己知彼,百战不殆。 本书《Java代码...
代码审计-JAVAjavaweb代码审计思路
12-11 3262
代码审计-JAVAjavaweb代码审计思路
JAVA代码审计中危险函数
小小猪的博客
12-27 2763
JAVA代码审计中危险函数 xxe: javax.xml.parsers.DocumentBuilder (原生dom解析xml) 例子: DocumentBuilderFactory doc=DocumentBuilderFactory.newInstance(); DocumentBuilder db=doc.newDocumentBuilder(); InputStream is= new FileInputStream("test.xml"); Document doc=do..
java中的危险函数
任浩的博客
01-13 1192
getParameter() getcokies() getQueryString() getheaders() Runtime.exec() logger.info() password() upload() download()
Java代码危险函数
糖小喵
04-12 1150
JavaID通过常规匹配来识别Java代码中的某些危险函数。 有关更多详细信息,请在主站点github.com/Cryin/JavaID上查看源代码。 XXE: "SAXReader", "DocumentBuilder", "XMLStreamReader", "SAXBuilder", "SAXParser", "XMLReader", "SA...
[连载2]高端java课程-代码审计中常见漏洞的特征函数-xxe-补充篇(框架设计者的无奈)
重新启程
10-15 388
[高端java课程]系列讲座 我在一个软件中发现了一个类XXEUtil,主要作用是阻止出现xxe漏洞,进行一个预防措施,这确实是一个好的方案。 奈何!这个方案有个重大的弱点,他不是类似spring框架的AOP编程的思想实现的切面编程,需要开发人员在实际使用xml的时候调用这个类中的方法。 我截取了这个类的代码如下: import javax.xml.parsers.DocumentB...
网络安全+CTF+源码审计+O泡易支付V1.zip
11-19
总之,这个压缩包提供了一个实践源码审计技巧的实战场景,对于提升网络安全技能,特别是对PHP Web应用的防护能力,具有很高的学习价值。通过深入分析O泡易支付V1的源码,不仅可以发现并修复安全漏洞,还能提高对CTF...
打造最强的Java安全研究与安全开发面试题库,帮助师傅们找到满意的工作.zip
10-03
Java安全研究与安全开发在IT行业中占据着至关重要的地位,特别是在网络安全日益严峻的今天。这份“打造最强的Java安全研究与安全开发面试题库”旨在为求职者提供全面的准备,帮助他们顺利通过面试,找到满意的工作。...
[ 代码审计篇资源 ] apache-tomcat-8.5.63
12-25
代码审计篇中,深入理解并实践Apache Tomcat 8.5.63的相关知识点是提升网络安全和渗透测试能力的重要步骤。以下是关于这个版本的一些关键知识点的详细解释: 1. **Servlet与JSP**:Tomcat作为Servlet容器,负责...
java客房管理系统代码
09-15
通过这个Java客房管理系统,开发者不仅可以学习到Java编程的基本技巧,还能深入理解企业级应用开发中的数据处理、业务逻辑、界面设计等关键环节,为今后的软件开发生涯打下坚实基础。同时,对于酒店行业的实际运营,...
代码审计之危险函数
weixin_34124577的博客
05-18 574
0x01 总结一下php代码审计中的危险函数及一般方法。 0x02 审计 一般拿到一套CMS源码,有不同的审计思路,大概分为这几种,追踪危险函数,然后回溯。按功能点来进行审计。直接通读全文代码。或者跟踪数据流进行审计。但不管那种,我觉得因该先看入口文件,了解整体框架结构,网站配置。 0x03 漏洞 文件包含漏洞 本地文件包含 函数有: include(),include_onc...
Java代码审计,高手就是这样“硬看”的
程序员之家
03-11 5961
前言本文作者是360特邀讲师,每月开讲一堂代码审计课,曾在2017年中国互联网安全大会上作为白帽大咖的嘉宾身份参加并在沙龙上担当讲师。在补天众测平台上,他有一个响当当的ID:jkgh006。接下来我们来看看高手是如何通过“硬看”来进行代码安全审计的。
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1224
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
golang 接口
m0_70982551的博客
07-24 759
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
最新发布
a1058926697的博客
07-26 132
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
Java读取文件中多个JSON对象,并且16进制字符串和byte相互转换,将byte转为16进制字符串并写入json文件
weixin_43561432的博客
07-24 286
代码Java读取文件中多个JSON对象,并且16进制字符串和byte相互转换,将byte转为16进制字符串并写入json文件。
springboot之自动装配
weixin_50153914的博客
07-23 434
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

rockmelodies

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值