Java Web 代码审计浅析(框架基础,漏洞种类整理)

最新推荐文章于 2024-12-18 20:49:54 发布
最新推荐文章于 2024-12-18 20:49:54 发布
阅读量1.1k 收藏 8
点赞数 2
分类专栏: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/alexz__/article/details/108696049
版权

编译与反编译:

 

JAVA web:

  • 分层架构:为了方便清楚包与包之间的业务逻辑关系

    • 视图层(View 视图)
    • 控制层(Controller、Action 控制层)
    • 服务层(Service)
    • 业务逻辑层BO(business object)
    • 实体层(entity 实体对象、VO(value object) 值对象 、模型层(bean)。
    • 持久层(dao- Data Access Object 数据访问层、PO(persistant object) 持久对象)
  • 模块化开发:
    • Maven
    • Gradle
    • OSGi ( Open Service Gateway Initiative  可实现模块热部署)
  • Servlet: Servlet Java Web容器 上运行的 小程序 ,通常我们用 Servlet 来处理一些较为复杂的服务器端的业务逻辑。值得注意的是在 Servlet3.0 之后( Tomcat7+ )可以使用注解方式配置 Servlet 了。
    • Servlet3.0 之前的版本都需要在 web.xml 中配置, Servlet 两对标签 ,由 <servlet> <servlet-mapping> 组成, Spring MVC框架就是基于Servlet技术 实现的
    • 实现一个 Servlet 很简单,只需要继承 javax.servlet.http.HttpServlet 类并重写 doXXX 方法或者 service 方法
    • JSP、Servlet之间的关系
      • JSP、JSPX文件是可以直接被Java容器直接解析的动态脚本,jsp和其他脚本语言无异,不但可以用于页面数据展示,也可以用来处理后端业务逻辑。
最低0.47元/天 解锁文章
【Network Security!】Web安全学习及异或解密示例
李响
02-22 1106
文章目录一.工具&术语1.网安术语2.常用工具3.推荐文章二.常见攻击1.SQL注入2.XSS跨站3.越权漏洞三.音乐异或解密示例 一.工具&术语 1.网安术语 常见安全网站及论坛: 看雪(https://bbs.pediy.com/) 安全客(https://www.anquanke.com) freebuf(https://www.freebuf.com/) 安全牛(http...
Java代码审计技巧
悦分享
07-15 1515
自定义搜索范围示例:自定义搜索范围后就可以在搜索时使用自定义的配置进行范围搜索了,有助于我们在挖漏洞的时候缩小代码定位范围。
Java Web 工程源代码安全审计实战的第 1 部分.pdf
08-16
本文是JavaWeb工程源代码安全审计实战,基于WebGoat工程,讲解四种高危漏洞:文件路径操纵、系统日志欺骗、线程安全和资源未释放问题。
攻击JavaWeb应用[6]-程序架构与代码审计
xiaoshan812613234的专栏
11-14 2024
注: 不管多么强大的系统总会有那么些安全问题,影响小的可能仅仅只会影响用户体验,危害性大点的可能会让攻击者获取到服务器权限。这一节重点是怎样去找到并利用问题去获取一些有意思的东西。 Before: 有MM的地方就有江湖,有程序的地方就有漏洞。现在已经不是SQL注入漫天的年代了,Java的一些优秀的开源框架让其项目坚固了不少。在一个中大型的Web应用漏洞的似乎永远都存在,只是在于影
Java Web安全之代码审计
2401_88857275的博客
12-18 1171
自定义搜索范围示例:自定义搜索范围后就可以在搜索时使用自定义的配置进行范围搜索了,有助于我们在挖漏洞的时候缩小代码定位范围。Servlet是在Java Web容器上运行的小程序,通常我们用Servlet来处理一些较为复杂的服务器端的业务逻辑。值得注意的是在Servlet3.0之后(Tomcat7+)可以使用注解方式配置Servlet了。基于注解的Servlet。
xss跳转代码_Java代码审计入门篇:WebGoat 8(初见)
weixin_39849127的博客
11-20 460
作者:数字观星 Jack Chan (Saturn)简介WebGoat8是基于Spring boot框架开发,故意不安全的Web应用程序,旨在教授Web应用程序安全性课程。该程序演示了常见的服务器端应用程序缺陷。本文将简要分析WebGoat8的登陆模块,注册模块,作为热身,随后对SQL注入课程进行代码审计基础本人对WebGoat8进行review code之时,仅有些许Java基础,了解过Spr...
JAVA web网站代码审计--入门
weixin_30645617的博客
04-10 188
本人还处于代码审计的初级阶段,此文章类似于编码规范,有啥建议,评论给我~ 由于刚开始学代码审计的时候,就感觉一团代码,不知道从何下嘴。先从底层开始审计: 底层漏洞: 1. 查看该系统所用框架: Struts2的相关安全: (1) 低版本的struts2,低版本的Struts2存在很多已知的版本漏洞。一经使用,很容易造成比较大的危害。 (2) 开启 Struts2...
Java代码审计漏洞挖掘(入门)
Ms08067安全实验室
11-10 4856
出品|MS08067实验室(www.ms08067.com)双十一最有意义的事情莫过于是学习一门高级渗透技术了!代码审计属于高级渗透测试服务的一环,顾名思义就是检查源代码中的安全缺陷,检查...
初识java代码审计——ofcms 1.1.4内容管理系统代码审计
Alexz__的博客
05-05 3856
目录 壹 ofcms环境搭建(避坑指南) 贰 从ofcms出发浅析javaweb项目目录结构及其功能 叁 CVE-2019-9614 SSTI模板注入漏洞 肆 任意文件上传漏洞 伍 存储型XSS漏洞 陆 后台SQL注入漏洞 壹 ofcms环境搭建(避坑指南) 四月底开始入手java代码审计,从一开始的一头雾水到现在博客总结,之间经历了许多,走过不少坑,虽然大四啥事儿都没有但是整个过程也还是压力比较大的 现在IDEA中以及没有java代码审计插件 Fi...
Struts2漏洞分析之Ognl表达式特性引发的新思路
HBohan的博客
07-10 794
摘要 在Ognl表达式中,会将被括号“()”包含的变量内容当做Ognl表达式执行。Ognl表达式的这一特性,引发出一种新的攻击思路。通过将恶意代码存储到变量中,然后在调用Ognl表达式的函数中使用这个变量来执行恶意的代码,从而实现攻击。 本文将会以CVE-2011-3923漏洞作为示例,描述这种利用思路的具体过程。但是,本文的内容绝不仅仅局限于这个漏洞,在实际的审计过程中,这种思路可以用来发现很多类似的漏洞。 背景介绍与原理分析 这个漏洞和CVE-2010-1870很相似,都是是通过Ognl表达式执行ja.
代码审计-本地javaWeb网站-jeeCMS7
cavalier的学习之路
10-16 1694
前言      JavaWeb逐渐成为企业级网站的首选,
Java代码审计
06-15
该课程从代码审计与渗透测试优缺点对比讲起,讲解了为什么前端防护都是纸老虎、如何从后端防护来防止漏洞被利用。学好该课程对于渗透的朋友能更彻底的了解漏洞的原理、开发的朋友能写出没有漏洞的代码。课程当中会使用到Fortify这个工具,下载地址:链接:https://pan.baidu.com/s/1zgbKGPMah4ujQ3ML0f6E-Q 提取码:3gme
Java Web 工程源代码安全审计实战的第 2部分.pdf
08-16
本文是JavaWeb工程源代码安全审计实战,基于WebGoat工程,讲解四种高危漏洞:文件路径操纵、系统日志欺骗、线程安全和资源未释放问题。
web-代码审计(14.3)Java平台
09-02 613
Java平台】
JAVA代码审计(1)
qq_38483146的博客
09-29 1446
1.代码审计开始篇 首先代码审计要从漏洞原理开始,需要了解基本漏洞的产生原理,比如SQL注入、XSS、XXE、反序列化、溢出等等(推荐《Web安全深度解析》认识基本漏洞就够了),当然还有业务流程方面的一些漏洞,比如业务流程跳跃、认证缺陷等。 2.第一篇先从最近本的漏洞开始,借助审计靶场。 2.1靶场环境搭建 至此准备工作已经完成 注:如果Tomcat启动后正常是一些乱码,如果没有启动起来,前端是无法访问的。 2.2访问前端 (浏览器访问本地地址,127.0.0.1/) 可以按照地址连接配置,建议第四种
代码审计之逻辑上传漏洞挖掘
weixin_33856370的博客
04-07 620
0×00 前言 话说一个人的快乐,两个人分享就成为两份快乐,这个我看未必吧,倘若分享与被分享的两者之间是情敌关系,而分享者快乐的原因恰好是… 哈哈,不说了,都懂的; BUT, 倘若一个技巧被分享出来,那么受益的人我坚信肯定远远不只两个,所以我们更应该学会的是–分享! Today,简单说说漏洞挖掘中由逻辑缺陷造成的文件上传漏洞。 Tips:传统的MIME验证、客户端js验证、黑名单验证、...
创建Java安全框架 避免Java漏洞被利用
xiaoyu714543065的专栏
03-22 684
导读:据最近的报道,针对Java的袭击数量一直在稳步上升。在这篇文章,我们将谈到为什么Java容易成为攻击者的目标,以及企业应该如何创建Java安全框架,从而成功抵御基于Java漏洞攻击。 虽然蠕虫病毒、Zeus僵尸网络和极光行动是去年的头条新闻,但是据Krebs On Security的Brian Krebs和微软的Holly Stewart最近的报道,针对Java的袭击数量一直在稳步上升。
java 框架 漏洞 修补_最新Java安全修补程序中发现的另一个漏洞
06-29 194
在上周末,Oracle终于对Java SE中的安全漏洞感到越来越消极的压力,发布了旨在解决所有未解决问题的紧急补丁。 尽管几乎无法弥补几个月来无视安全研究人员的警告,但它至少使( 像我们这样的 )批评家感到沉默,他们担心在被定于10月的下一次安全更新之前它会被忽略。 不幸的是,看来这还不够。 Security Explorations的Adam Gowdiak上周透露Oracle自4月份以来...
逻辑漏洞
weixin_34368949的博客
11-19 224
等待笔记。。。 转载于:https://www.cnblogs.com/AardWolf/p/9983933.html
java代码审计工具
最新发布
02-26
### Java 代码审计工具推荐 #### 铲子 SAST 新一代的 Java 代码审计工具——铲子 SAST 支持主流的 Java 开发框架,采用了轻量、快捷的污点分析技术,并能支持无代码场景下的反编译扫描。此外,这款工具还提供了便捷的自定义扫描规则功能,使得开发者可以根据项目需求灵活调整审计策略[^4]。 ```java // 示例:配置自定义扫描规则 CustomRule customRule = new CustomRule(); customRule.setPattern("unsafeFunction\\(.*"); customRule.setMessage("Avoid using unsafe functions."); ``` #### 使用 JavaParser 进行静态分析 对于更细粒度的代码审查工作,可以考虑使用 `JavaParser` 库来解析并处理源码文件。通过创建 `CompilationUnit` 对象,能够深入理解程序结构并对特定部分实施针对性检测[^3]。 ```java import com.github.javaparser.StaticJavaParser; import com.github.javaparser.ast.CompilationUnit; String code = "public class HelloWorld { public static void main(String[] args) {} }"; CompilationUnit cu = StaticJavaParser.parse(code); System.out.println(cu.toString()); ``` 除了上述提到的具体解决方案外,在实际操作过程中还可以借助多种类型的辅助手段提高工作效率: - **代码编辑器插件**:许多现代 IDE 如 IntelliJ IDEA 或 Eclipse 提供内置的安全检查选项以及第三方扩展包。 - **单元测试框架**:JUnit 和 TestNG 等可以帮助验证应用程序逻辑正确性和安全性。 - **反汇编/反编译软件**:当面对闭源库时尤为有用;JD-GUI 是一个流行的选择之一。 综上所述,针对不同应用场景和个人偏好可以选择合适的组合方式来进行高效的 Java 代码质量保障活动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值