本文详细介绍了Javaweb审计中的SQL注入检测、预编译技术利用FindBugs插件、Fortify_SCA工具的应用,以及Ofcms平台的后台安全漏洞测试,包括文件上传和关键词搜索技巧。
where are you now
一、 Java web审计
1. 审计前: 确定框架(对应框架的问题)
- web.xml
- 导入的jar包 pom.xml
- 配置文件
2. 是否存在拦截器
通过查看web.xml
确定是否存在相关拦截器
二、例
Demo段SQL注入及预编译
使用数据库插件监听
测试有无注点
语句执行先后问题
IDEA审计插件FindBugs安装使用
插件安装
局限 不能分析jsp
Fortify_SCA代码自动审计神器使用
工具
and 1=2
工具直接找到
Ofcms后台SQL注入-全局搜索关键字
全局查找
Ofcms后台任意文件上传-功能点测试
打开工具先分析,同时人工分析
跟踪此函数,未被调用,但这个函数写完后存在安全问题
构造数据包
create.json触发方法
模板资源处抓包
- 通过 功能点载入代码段后分析
- 全局搜索
扫一扫
923
到【灌水乐园】发言
