从JAVA代码审计流程看安全漏洞

最新推荐文章于 2025-03-29 13:53:46 发布

原创

最新推荐文章于 2025-03-29 13:53:46 发布 · 796 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#信息安全

本文探讨了JAVA代码审计时的重点，重点关注Web.xml中的配置，特别是filter和servlet。介绍了filter作为请求和响应的过滤网，以及servlet在服务端的角色。同时，提到了DispatcherServlet在Spring MVC中的核心地位，以及如何处理潜在的安全漏洞，如XSS和SQL注入，并提示了可能的过滤器绕过策略。

一、Web.xml

首先我们来看一个源代码案例，找到web.xml位置。在这里插入图片描述
Web.xml的作用：
基本每个javaEE工程中都有web.xml文件，web.xml文件是用来初始化配置信息：比如Welcome页面、servlet、servlet-mapping、filter、listener、启动加载级别等。
对于代码审计特别需要注意的是filter，servlet。
Servlet通常如下标签所指：
为Servlet命名，指定使用的serclet的类（class）

<servlet> 
	<servlet-name>servlet1</servlet-name> 
	<servlet-class>org.whatisjava.TestServlet</servlet-class> 
</servlet>

为Servlet定制URL， url-pattern的意思是所有的.do文件都会经过TestServlet处理。

<servlet-mapping> 
	<servlet-name>servlet1</servlet-name> 
	<url-pattern>*.do</url-pattern> 
</servlet-mapping>

设置过滤器：比如设置一个编码过滤器，过滤所有资源

<filter> 
	<filter-name>XXXCharaSetFilter</filter-name>                   //filter的名字
	<filter-class>net.test.Ch

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Xiao.DouB

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

JAVA代码审计

小白鸽

02-23

2182

在后端代码处，首先经过Filter(过滤器)和Interceptor(拦截器)，然后根据请求的URL映射到绑定的Controller，之后调用Service接口类，然后再调用serviceImpl接口实现类，最后调用DAO。src/main下面有两个目录，分别是java和resources，java目录中主要存放的是java代码，resources目录中主要存放的是资源文件，比如：html、js、css等。@ResponseBody 注解：将该注解写在类的外面，表示这个类所有方法的返回的数据直接给浏览器。

java代码审计常见漏洞点

weixin_30322405的博客

09-06

439

本人还处于代码审计的初级阶段，由于刚开始学代码审计的时候，就感觉一团代码，不知道从何下嘴。先从底层开始审计：底层漏洞： 1. 查看该系统所用框架： Struts2的相关安全： (1) 低版本的struts2，低版本的Struts2存在很多已知的版本漏洞。一经使用，很容易造成比较大的危害。 (2) 开启 Struts2的动态调用方法，现在发现的如s2-033 ,s2-...

参与评论您还未登录，请先登录后发表或查看评论

Java中的代码审计

weixin_46372265的博客

07-22

1696

代码审计，顾名思义，就是对代码进行系统的检查和分析，以发现潜在的问题或优化点。它不仅仅是寻找代码中的错误或漏洞，更是为了确保代码的质量、安全性和性能。代码审计可以分为手工审计和自动化审计两种方式。手工审计需要经验丰富的开发人员逐行检查代码，而自动化审计则借助各种工具和技术来高效地扫描和分析代码。

JAVA代码审计常用漏洞总结

12-11

主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯：跟踪用户的输入数据，判断数据进入的每一个代码逻辑是否有可利用的点，此处的代码逻辑可以是一个函数，或者是条小小的条件判断语句。敏感函数参数回溯，根据敏感函数，逆向追踪参数传递的过程。这个方法是最高效，最常用的方法。大多数漏洞的产生是因为函数的使用不当导致的，只要找到这些函数，就能够快速挖掘想要的漏洞。

JAVA代码审计（1）

qq_38483146的博客

09-29

1501

1.代码审计开始篇首先代码审计要从漏洞原理开始，需要了解基本漏洞的产生原理，比如SQL注入、XSS、XXE、反序列化、溢出等等(推荐《Web安全深度解析》认识基本漏洞就够了),当然还有业务流程方面的一些漏洞，比如业务流程跳跃、认证缺陷等。 2.第一篇先从最近本的漏洞开始，借助审计靶场。 2.1靶场环境搭建至此准备工作已经完成注：如果Tomcat启动后正常是一些乱码，如果没有启动起来，前端是无法访问的。 2.2访问前端（浏览器访问本地地址，127.0.0.1/）可以按照地址连接配置，建议第四种

精选资源

Java代码审计案例及修复

12-22

Java 代码审计是指对 Java 源代码进行安全审查和评估，以发现潜在的安全漏洞和风险。Java 代码审计案例及修复旨在提供一个 Java 代码审计的实践指南，涵盖了 Java 代码审计的基本概念、安全编码规范、漏洞示例和修复...

《Java代码审计：SQL注入漏洞解析》

03-25

本文档是一份关于Java代码审计的教程，专注于解析SQL注入漏洞。文档通过具体的代码示例，展示了如何在Java应用程序中识别和修复SQL注入问题。代码片段展示了分页逻辑和数据查询的实现，其中涉及对用户输入的处理和...

精选资源

php-java+代码审计+代码审计软件seay+程序员+挖洞+代码审计漏洞查找+生成代码审计报告

03-08

代码审计是确保软件质量、防止安全漏洞和提高代码可维护性的重要手段。 **Seay源代码审计系统** Seay源代码审计系统是一款专门针对PHP源代码的安全审计工具，由Seay团队开发。该系统2.1版本提供了更强大的审计功能...

代码审计-Java项目审计-SQL注入漏洞

Hacker_doggy的博客

07-18

1315

代码审计必备知识点：1、代码审计开始前准备：环境搭建使用，工具插件安装使用，掌握各种漏洞原理及利用,代码开发类知识点。2、代码审计前信息收集：审计目标的程序名，版本，当前环境(系统,中间件,脚本语言等信息),各种插件等。3、代码审计挖掘漏洞根本：可控变量及特定函数，不存在过滤或过滤不严谨可以绕过导致的安全漏洞。4、代码审计展开计划：审计项目漏洞原理->审计思路->完整源码->应用框架->验证并利用漏洞。代码审计两种方法：功能点或关键字分析可能存在的漏洞。

Java代码审计怎么做？

半夏_2021的博客

05-08

3292

Java代码审计怎么做？

JavaWeb程序代码安全漏洞处理！

08-03

NULL 博文链接：https://eddysoft.iteye.com/blog/1992468

web.xml 中的listener、 filter、servlet 加载顺序及其详解

敲键盘的猫

06-11

565

网上查询了下web.xml中配置的加载优先级：首先可以肯定的是，加载顺序与它们在 web.xml 文件中的先后顺序无关。即不会因为 filter 写在 listener 的前面而会先加载 filter。最终得出的结论是：listener -> filter -> servlet 同时还存在着这样一种配置节：context-param，它用于向 ServletC

JAVA代码审计-纵向越权漏洞分析

shelter1234567的博客

10-24

905

本次介绍纵向越权漏洞....

Java代码审计：从入门到实战，全方位保障应用安全

最新发布

03-29

995

Java代码审计是一种系统性地检查和分析Java应用程序源代码的过程，目的是发现潜在的安全漏洞、代码质量问题以及不符合最佳实践的代码片段。它不仅关注代码的功能性，更侧重于代码的安全性和健壮性。通过代码审计，开发团队可以提前发现并修复安全漏洞，避免因代码缺陷导致的安全事件，从而保护应用程序免受攻击。

Web安全和渗透测试有什么关系？

Python_0011的博客

03-31

3849

做渗透测试的一个环节就是测试web安全，需要明白漏洞产生原理，通过信息收集互联网暴露面，进行漏洞扫描，漏洞利用，必要时进行脚本自编写和手工测试，力求挖出目标存在的漏洞并提出整改建议，当然如果技术再精一些，还要学习内网渗透（工作组和域环境），白盒审计，app，小程序渗透那些了......可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。总之，web安全包含于渗透测试，但不是渗透测试的全部。

JAVA代码审计(函数定位)

红队是青春

01-16

997

java代码审计-函数定位

JAVA代码审计初探

crystal_shrimps的博客

08-31

576

写在前面最近要做代码审计，事先预习了一下，整理了代码审计需要的基础知识和一些可简单审计的漏洞。参考:JAVA安全编码与代码审计 JAVA常用架构 maven 根目录下有pom.xml MVC 大部分web项目都基于MVC开发，model(模型)+view(视图)+controller(控制器) dao层，service层，controller层(web)，view层 controller 负...

Java代码审计企业级实战

悦分享

07-15

2845

跨站请求伪造是一种使已登录用户在不知情的情况下执行某种动作的攻击。在/reset接口，因为代码@SessionAttributes("user")，将user对象从ModelMap中读出并放入session中，因此user中的answer=hhd也加入了session中。但当输入的反序列化的数据可被用户控制，那么攻击者即可通过构造恶意输入，让反序列化产生非预期的对象，在此过程中执行构造的任意代码。恶意攻击者可以伪造ZIP文件中用来描述解压条目大小的字段，因此，getSize()方法的返回值是不可靠的。...

java代码审计--配置文件与servlet程序

goddemon

07-15

411

①读取基础的配置文件 #常见的三个配置文件 /WEB-INF/web.xml : #Web应用程序配置文件，描述了 servlet 和其他的应用组件配置及命名规则。-->三部分①servlet配置+组件配置+spring配置 /WEB-INF/classes/ : #包含了站点所有用的 class 文件，包括 servlet class 和非servlet class，他们不能包含在 .jar文件中。 /WEB-INF/lib/ : #存放web应用需要的各种JAR文件，放置仅在这个应用中要求使用的

Java代码审计：提高前后端安全防护与漏洞理解

Java代码审计课程是一门专注于代码安全性的教育内容，其目的在于提升开发者对安全漏洞的认识，以及如何通过代码审计来预防和发现潜在的漏洞。课程内容不仅对渗透测试人员有益，帮助他们更全面地理解漏洞的本质，而且...