Java代码审计之文件包含

最新推荐文章于 2025-06-21 16:56:37 发布
最新推荐文章于 2025-06-21 16:56:37 发布
阅读量2.5k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 代码审计 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jameson_/article/details/73111402
本文介绍了一个文件包含漏洞案例,展示了如何通过恶意构造URL来利用%00截断达到任意文件读取的目的。针对该漏洞,文章提出了三种修复建议:使用白名单限制、前端加载文件以及数据库实现,并强调了在代码审计中关注关键函数的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

事件

今天报一个文件包含,

正常url:http://xx.xx.xx.com/view=f01
payload : http://xx.xx.xx.com/view=../../../../../../../../etc/passwd%00

看了一下,问题代码如下。

private String getFile(String tagId) {
        String path = getClass().getClassLoader().getResource("txt").getPath();
        logger.info(String.format("获取文件的路径:%s", path));
        String filePath = path + File.separatorChar + tagId + ".txt";
        File file = new File(filePath);
        String result = null;
        try {
            result = FileUtils.readFileToString(file);
            cache.put(tagId, result);
        } catch (IOException e) {
            logger.error(String.format("读取文件异常,tagid=%s", tagId), e);
        }
        return result;
    }

原因

开发者使用用户输入”tagId”来拼接路径,来读取一个txt文件。本来后缀已经限定好,但是攻击者用%00来截断,造成任意文件读取。

修改方案

1.使用白名单,不给用户来拼接路径。
2.在前端来实现加载txt文件。
3.数据库实现

审计

关注FileInputStream,readFileToString,readFileToByteArray

Java代码审计之文件上传漏洞详解
悦分享
01-23 720
文件长传漏洞是指攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马、病毒、恶意脚本或这Webshell等。文件上传漏洞条件上传的文件能被Web服务器当做脚本来执行我们能够访问到上传文件的路径服务器上传文件命名规则第一种:上传文件名和服务器命名一致第二种:上传文件名和服务器命名不一致(随机、时间日期命名等),但是后缀一致第三种:上传文件名和服务器命名不一致(随机、时间日期命名等),后缀也不一致漏洞成因。
Java代码审计代码审计的方法及常用工具
大河之犬的博客
05-10 2267
Eclipse 是 Java 开发者非常喜欢的工具之一,它具有强大的编辑、调试功能,允许开发人员安装不同的插件,从而拓展不同的功能。Burp Suite 是渗透测试工作者必备的一款工具,同时对于代码审计者和安全研究人员来说,这也是一款比较重要的测试工具,其跨平台、便捷、强大的功能以及丰富的插件,深受信息安全从业者的喜爱。Ysoserial 是一款开源的 Java 反序列化测试工具,内部集成有多种利用链,可以快速生成用于攻击的代码,也可以将新公开的反序列化漏洞利用方式自行加入 Ysoserial 中。
JAVA代码审计
小白鸽
02-23 2054
在后端代码处,首先经过Filter(过滤器)和Interceptor(拦截器),然后根据请求的URL映射到绑定的Controller,之后调用Service接口类,然后再调用serviceImpl接口实现类,最后调用DAO。src/main下面有两个目录,分别是java和resources,java目录中主要存放的是java代码,resources目录中主要存放的是资源文件,比如:html、js、css等。@ResponseBody 注解:将该注解写在类的外面,表示这个类所有方法的返回的数据直接给浏览器。
java 文件包含漏洞_远程文件包含漏洞(pikachu)
weixin_39987985的博客
03-05 2329
漏洞介绍File Inclusion(文件包含漏洞)概述文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如 在PHP中,提供了:include(),include_once()require(),require_once()这些文件包含函数,这些函数在代码设计中被经常使用到。大多数情况下,文件包含函数中包含的代...
JavaSinkTracer:自研Java代码审计工具
最新发布
道阻且长,行则将至
06-21 1318
JavaSinkTracer 是基于 Python javalang 库开发的一款轻量级 Java 源代码漏洞审计工具,开发人员 Tr0e。
java 文件包含_java文件包含漏洞
weixin_35591093的博客
02-15 2158
java文件包含分静态包含的动态包含两种:静态包含:动态包含:两者的区别我就不赘述了。就目前了解静态包含是不存在问题的,因为file的参数不能动态赋值而动态包含是存在问题的我们常说的php文件包含有本地文件包含和远程文件包含两种所以我分析java文件包含的时候也是分这两种情况1.本地文件包含:目前我对java的本地文件包含的理解为:造成的危害就只有文件读取,一般情况下是不能造成命令执行或代码执行...
java代码审计文件包含_代码审计--一道简单的文件包含题目的多种利用方式
weixin_28689507的博客
03-02 638
不知出自哪次CTF前言:本萌新最近在学习代码审计,有一天在水群聊到代码审计如何学习,然后某dalao丢给我一道题,说你对这题有什么看法,本萌新一看,这不是很简单吗,想也没多想就直接上去?file=flag.php,然后被dalao指教了一番,于是就有了这篇文章。目录:NO.1 传统方法首先来看下代码error_reporting(0);if(@isset($_GET["file"])){inclu...
java代码审计
gjgj的博客
07-18 4886
https://www.cnblogs.com/nongchaoer/p/13324114.html 有些源码搭建网站,会自动创建 数据库,但有些 需要先手动创建数据库,才可以搭建网站。视情况而定。 这里的报错,看报错信息,进行更改就好。 使用低版本的phpsyudy 搭建 代码审计——白盒测试 1、web应用/web网站 搭建成功后,使用web 漏洞扫描工具进行探针。 2、有源码的情况下,使用源码审计工具 进行漏洞挖掘。代码审计工具:N
Java代码审计篇 | ofcms系统审计思路讲解 - 篇3 | 文件上传漏洞审计
哦 卷!
09-10 2027
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。SQL注入漏洞审计Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制。
Java代码审计 | 第七篇】文件上传方式、漏洞成因、防范及审计思路
等风来
03-07 1496
文件上传漏洞是指攻击者通过上传恶意文件(如可执行脚本、病毒、木马等)到服务器,从而执行恶意操作或获取服务器控制权的安全漏洞。一般发生在应用程序未对上传的文件进行严格的验证和限制时。使用经过验证的文件上传库(如 Apache Commons FileUpload),并确保库的版本是最新的。使用随机文件名保存上传的文件,避免攻击者通过文件名猜测文件路径。:文件上传路径未做限制,攻击者可以通过构造特殊文件名(如。:未验证文件类型和扩展名,攻击者可以上传任意文件(如。)验证文件内容是否与扩展名匹配。
Java代码审计技巧
悦分享
07-15 1551
自定义搜索范围示例:自定义搜索范围后就可以在搜索时使用自定义的配置进行范围搜索了,有助于我们在挖漏洞的时候缩小代码定位范围。
Java代码审查工具
07-28
代码评审是指在软件开发过程中,对源代码的系统性检查,随时知道自己代码的质量
Java代码审计
2301_76786857的博客
03-11 2416
Java 是一种跨平台的编程语言,具有良好的可移植性和灵活性,因此在各种应用领域得到了广泛应用。从企业级应用到移动应用,从 Web 应用到嵌入式系统,Java 都有着重要的地位。然而,由于 Java 的普及性和复杂性,其中的安全漏洞和代码缺陷也变得更加普遍。 Java 代码审计是对使用Java编写的软件代码进行全面检查和分析,通过白盒的方式发现其中的安全漏洞和潜在风险,代码审计已成为保护网络安全性的重要手段之一。
java代码审计文件包含_代码审计:dedecms本地文件包含及物理路径泄露0day[转]
weixin_35132022的博客
03-02 241
晚餐吃撑了,瞄下代码消化消化。最近Php0day群里的兄弟都在讨论dede洞多,赶紧下了套,用editplus搜索了几个关键字,果然发现些问题。(话说平时写代码也喜欢用editplus,小巧方便多年习惯)出现漏洞的两个文件为:Include/payment/alipay.phpInclude/payment/yeepay.php漏洞均出现在respond方法里,估计这两个文件是临时工写的。Incl...
代码审计中的文件包含漏洞
weixin_30240349的博客
03-17 178
0x00 背景 文件包含漏洞是php语言的一大特性。文件包含的意思是,服务器在执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码并执行,这会为开发者节省大量的时间。而文件包含漏洞的出现在于服务器没有对要包含的来源文件进行审查,导致黑客进行了任意文件的读取甚至执行。本文以代码审计的形式研究文件包含漏洞的原理、挖掘形式、防御方案及缺陷。 0x01文件包含漏洞的产生原理 ...
Java中的代码审计
weixin_46372265的博客
07-22 1565
代码审计,顾名思义,就是对代码进行系统的检查和分析,以发现潜在的问题或优化点。它不仅仅是寻找代码中的错误或漏洞,更是为了确保代码的质量、安全性和性能。代码审计可以分为手工审计和自动化审计两种方式。手工审计需要经验丰富的开发人员逐行检查代码,而自动化审计则借助各种工具和技术来高效地扫描和分析代码。
java包含文件_javaIO详解、包含文件以及流操作
weixin_30649293的博客
02-20 370
1.File 文件操作java.io.File用来表示文件或者目录。只能用来表示文件或者目录的大小名称等信息,而无法完成对文件内容的CRUD。1.1构造方法有四种,当然基本都是根据文件的路径或者直接文件的名字进行创建。注意,此时的创建并非真正意义上的创建。只是在程序中创建了一个File文件。仅此而已。硬盘中并未出现文件。1.2常用方法针对文件1.boolean createNewFile() :用...
PHP代码审计----2、文件包含
七天
07-05 508
文章目录1、include()、require()2、include_once()、reuqire_once()3、fopen()4、readfile()5、show_source()函数和highlight_file()函数6、file_get_contents()7、防御方法 PHP常见的导致文件包含的函数如下:include()、include_once()、require()、require_once()、fopen()、readfile()、show_source()、highlight_fi
java代码审计文件上传
02-15
### Java 文件上传安全审计检查要点 #### 1. 验证文件类型和扩展名 确保应用程序不仅依赖于客户端验证,还应在服务端严格校验上传文件的MIME类型和文件扩展名。仅依靠前端验证不足以防止恶意文件上传[^1]。 ```java // 示例:检查文件扩展名和服务端 MIME 类型匹配 String fileExtension = FilenameUtils.getExtension(file.getName()); if (!Arrays.asList("jpg", "png").contains(fileExtension.toLowerCase())) { throw new RuntimeException("Invalid file type"); } ``` #### 2. 权限管理 确认文件上传功能受到适当的身份验证和授权机制保护,只有经过身份验证并具有相应权限的用户才能执行此操作。未受保护的上传接口可能允许未经授权访问者提交任意文件。 #### 3. 存储路径隔离 应将用户上传的内容存放在独立的应用程序之外的位置,并避免使用原始文件名保存这些资源。这有助于减少因不当配置而导致敏感数据泄露的风险。 #### 4. 处理特殊字符与编码转换 对于来自用户的输入(包括但不限于文件名称),应当实施严格的清理措施来移除潜在危险字符或序列,比如反斜杠、句号等,以及处理多字节字符集中的异常情况。 #### 5. 图像和其他二进制对象的安全性 当涉及到图像或其他类型的多媒体文件时,除了基本的格式验证外,还需考虑是否存在隐藏元数据或嵌入式脚本的可能性。某些情况下,即使看似无害的照片也可能携带威胁。 #### 6. 中间件及框架自带防护机制利用 充分利用所使用的Web应用服务器、容器以及其他组件所提供的内置防御手段,如Apache Tomcat 的`<multipart-config>`标签设置最大尺寸限制等功能。 ```xml <!-- web.xml --> <multipart-config> <!-- 设置单个文件的最大大小 (单位: 字节) --> <max-file-size>20848820</max-file-size> <!-- 设置请求中所有文件总大小的最大值 (单位: 字节) --> <max-request-size>418018841</max-request-size> <!-- 指定临时存储位置 --> <location>/tmp</location> </multipart-config> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值