JAVA代码审计之四大框架学习

已于 2022-02-04 20:57:59 修改
阅读量712 收藏 2
点赞数 1
分类专栏: java代码审计 文章标签: java struts hibernate
于 2021-08-30 15:24:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33942040/article/details/118761548
版权

java三大框架之间的关系

1.Struts:基于MVC的充当了其中的视图层和控制器;

2.Hibernate:做持久化的,对JDBC轻量级的封装,使得我们能过面向对象的操作数据库;

3.Spring: 采用了控制反转的技术,管理Bean,降低了各层之间的耦合。

4.Shiro:  验证权限的框架 常和其他框架组合使用

一.Struts框架

struts.xml

//这个文件的核心作用
//个人理解:可以理解为tp框架中的定义路由

//处理方法,8种
1.date-sources元素
配置应用程序所需要的数据源。
<data-source key="a"  type="org.apached.commons.dbcp.BasicDataSource">
..</data-source>

2.form-beans元素
配置表单验证的类

3.global-exceptions元素
配置异常处理,exceptions处理全局的异常配置

4.global-forwards元素
用来声明全局的转发关系-->forward标签中的即表示转发。

5.action-mappings元素
特定的请求对应的路径转发关系,这里的转发是局部的转发。

6.controller元素
配置ActionServlet,不是很懂这玩意是完全干啥的。


7.message-resources元素
配置本地消息文本

8.plugin-in元素
配置strtus的差距元素

struts-config.xml配置文件

二.hibernate框架

三.Springboot框架

四.Shiro框架

存在的漏洞
①反序列化漏洞
②shiro权限绕过漏洞-->核心是拦截可绕且springboot解析的匹配模式不同

shiro权限绕过漏洞

综合分析

jsp的唯一不同就是框架

①meta-inf 
//相当于一个信息包,目录中的文件和目录获得Java 2平台的认可与解释,用来配置应用程序、扩展程序、类加载器和服务。其中的 manifest.mf文件,在用jar打包时自动生成。对审计而言没啥意义
②web-inf
java环境的安全目录 是java配置的核心

在这里插入图片描述

在这里插入图片描述
在web-inf下有个文件很重要
在这里插入图片描述

web.xml

//对于代码审计而言这个文件的核心是过滤机制
常用
<filter-mapping><url-pattern>
//如 即当是以.action为结尾的请求时 都会调用这个过滤机制
<filter-mapping>
<filter-name>struts2</filter-name>//这个就是过滤器的名字
<filter-class>dckj.c.a</filter-class>//即对应过滤器的java文件
<url-pattern>*.action</url-pattern>
</filter-mapping>


//其余补充
①关闭不安全的http方法用<security-constraint>进行配置
	<!-- 关闭不安全的HTTP方法   -->  
		<security-constraint>  
			<web-resource-collection>  
				<web-resource-name>任意名称</web-resource-name>  
				<url-pattern>/*</url-pattern>  #这里是配置哪些请求会经过该服务的
				<http-method>PUT</http-method>  
				<http-method>DELETE</http-method>  
				<http-method>HEAD</http-method>  
				<http-method>OPTIONS</http-method>  
				<http-method>TRACE</http-method>
				<http-method>PROPFIND</http-method>
				<http-method>COPY</http-method>
				<http-method>PATCH</http-method>
				<http-method>MOVE</http-method>
				<http-method>SEARCH</http-method>
				<http-method>MKCOL</http-method>
				<http-method>LOCK</http-method>
				<http-method>UNLOCK</http-method>
				<http-method>PROPPATCH</http-method>
			</web-resource-collection>  
			<auth-constraint></auth-constraint>  
		</security-constraint>(这里是添加用来注释的*/

②listern请求
Listener可以监听容器中某一执行动作,并根据其要求做出相应的响应。   
常用的Web事件的监听接口如下:
ServletContextListener:用于监听Web的启动及关闭
ServletContextAttributeListener:用于监听ServletContext范围内属性的改变
ServletRequestListener:用于监听用户请求
ServletRequestAttributeListener:用于监听ServletRequest范围属性的改变
HttpSessionListener:用于监听用户session的开始及结束
HttpSessionAttributeListener:用于监听HttpSession范围内的属性改变

			<listener>
			<listener-class>
				com.tp.cas.client.logout.SingleSignOutHttpSessionListener
			</listener-class>
		</listener>
程序人生学习成长新视角,提升职业生涯市场价值
AI天才研究院
05-01 365
在技术快速迭代的互联网时代,程序员的职业生命周期面临前所未有的挑战:从初级岗位的技能断层,到资深阶段的发展瓶颈,再到管理层的角色转型,每个阶段都需要精准的能力构建策略。本文聚焦程序员从入门到资深的全周期成长,构建涵盖技术能力、软技能、商业思维的三维度模型,提供可落地的学习方法、实践路径与市场价值提升策略,帮助开发者突破成长瓶颈,实现职业竞争力的指数级增长。核心概念:解析T型能力矩阵、成长阶段模型等底层逻辑学习方法论:提供主动学习、深度实践、知识管理的具体方法能力模型构建。
Java知识点概览
qq_48403611的博客
08-03 3787
java后端开发常见面试题总结
JAVA代码审计
小白鸽
02-23 1923
在后端代码处,首先经过Filter(过滤器)和Interceptor(拦截器),然后根据请求的URL映射到绑定的Controller,之后调用Service接口类,然后再调用serviceImpl接口实现类,最后调用DAO。src/main下面有两个目录,分别是java和resources,java目录中主要存放的是java代码,resources目录中主要存放的是资源文件,比如:html、js、css等。@ResponseBody 注解:将该注解写在类的外面,表示这个类所有方法的返回的数据直接给浏览器。
java代码审计--之--常用框架了解
赵花花08042的博客
11-10 989
框架 框架:软件的半成品,为解决问题而指定的一套约束,在提供功能基础上进行扩充。 框架中一些不能被封装的代码(变量),需要新建xml文件,在文件中添加变量内容。 类库:没有封装逻辑 MyBatis 环境搭建 导入jar Cglib依赖的包 动态代理包 日志包 MyBatis核心包 驱动 全局配置文件 在 src 下新建全局配置文件(编写 JDBC 四个变量) 引入 DTD 或 schema <?xml version="1.0" encoding="UTF-8"?>
代码审计java方向初步)
xixixi7777的博客
03-18 908
在IntelliJ/Eclipse中安装,自动标记。配置静态扫描工具跳过POJO类,减少误报.漏洞(如硬编码密码、不安全的随机数).示例:搜索SQL注入。
java 审计功能_audit: Auditor 是一个一个基于 Java 语言实现的通用的 Audit (审计)框架...
weixin_39859220的博客
02-16 940
audit一个通用的 Audit (审计)框架。如果要接入4A审计时,特别方便哟,同时也高度定制化。Features操作定义支持多种方式@Operation 注解方式在 yaml 配置文件配置方法全名的方式在 yaml 配置文件配置 URL template 的方式允许自定义操作资源获取支持多种方式在 yaml 配置方法参数名称的方式支持注解方式支持List, Map, Entity解析等支持自定...
重磅推荐:很全的 Java 权限认证框架
程序员闪充宝
03-08 952
来源:GitHub上sa-token项目今天给大家推荐的这个开源项目超级棒,可能是史上功能最全的 Java 权限认证框架!这个开源项目就是:sa-token 。Sa-Token是什么?s...
java代码审计之SSM框架审计
糖小喵
05-07 949
主体思路: 代码审计的核心思想就是追踪参数,而追踪参数的步骤就是程序执行的步骤,说白了代码审计就是一个跟踪程序执行步骤的一个过程,当我们知道了SSM框架的一个执行流程,自然就知道了如何如跟踪一个参数,剩下的就是去观察在参数传递的过程中有没有一些常见的漏洞点。 web.xml文件主要的工作包括两部分:1、web.xml启动spring容器;2、DispathcheServlet的声明;3、其余工...
Java敏捷开发(王伟杰译)
07-19
Java敏捷开发》一书由王伟杰翻译,聚焦于如何高效、灵活地进行Java软件开发,旨在提升团队协作效率和软件质量。敏捷开发是一种强调适应性、迭代性和客户参与的开发方法,它与传统的瀑布模型截然不同,更注重在开发...
Java面试题1
winks3的博客
07-10 1556
首先需要创建一个统一的响应对象,例如或Resultcode:响应码,用于表示请求是否成功。message:响应信息,描述请求的结果或错误详情。data:实际的数据,如果有的话。在这个类中定义失败和成功的返回格式@Data//设置默认值200,表示“成功”resultData.setMsg("成功");​​​18、你在开发前端过程用到了什么组件(你对前端的看法)Pinia :新一代状态管理工具,是 Vue 的存储库,它允许跨组件/页面共享状态。
Java 大数据与区块链的融合:数据可信共享与溯源(45)
【青云交】华为云云享专家,在技术圈个人影响力位居前 17,跻身博客之星 TOP23。全国原力、全网领军人物双料登顶,作者周榜位居前二,苏州地区各榜也统统拿下榜首之位,实力爆棚!
01-14 3733
文章深入探讨了Java大数据与区块链的融合,阐述了融合的背景意义、技术实现方式、应用案例,分析了面临的挑战并展望未来,旨在实现数据可信共享与溯源。
javers, Java的JaVers对象审计和比较框架.zip
09-18
javers, Java的JaVers对象审计和比较框架 什么是 JaVersJaVers是轻量级的Java库,用于对数据的变更进行。我们都使用版本控制系统来源代码,因这里为什么不使用专门框架来提供你的Java对象( 实体,POJO,数据对象) 。查看我们的网站你可以在
Java代码审计Java代码审计基础知识「二」
橙留香Park的博客
11-03 1328
转移发布平台通知:将不再在优快云博客发布新文章,敬请移步知识星球... ...
Java代码审计Java代码审计基础知识「一」
橙留香Park的博客
11-03 4493
转移发布平台通知:将不再在优快云博客发布新文章,敬请移步知识星球... ...
Javaweb中jar包等第三方框架自动化审计
liguangyao213的博客
10-19 1083
javaweb中会引用大量的第三方框架,你引用的第三方框架是否存在漏洞,用这款工具一扫便知。
JAVA代码审计基础学习
GUN_C的博客
09-16 416
学习
Java代码审计基础知识
buffedon的博客
08-30 662
Java代码审计 基础知识JSP生命周期War包结构JAVA 内置对象JAVA 中的危险函数名词概念 JSP生命周期 关键词:Web服务器,JSP容器,JVM(Java虚拟机),servlet 详细过程: 客户端向Web服务器发起 JSP网页请求 Web服务器将请求发送给JSP容器(中间件) JSP容器中的 JSP引擎 将 HTTP 请求转化为Servlet JSP引擎再将Servlet编译为 可执行的class类,并将原始请求交给Servlet引擎 Web服务器的某组件将会调用servlet引擎,然后载
Java代码审计学习笔记
克格莫(有需要的私信)
10-11 451
此处仅作代码分析,不涉及环境配置及工具使用。 0x00 反序列化带来的安全问题 0x01 反射基础知识 反射是Java核心特征之一,反射允许运行中的Java程序获取自身的信息,并且可以操作类或对象的内部属性。 通过反射在运行时获得程序或程序集中每一个类型的成员和成员的信息, 反射机制可以动态地创建对象并调用其属性,这样的对象的类型在编译期是未知的。所以我们可以通过反射机制直接创建对象,即使这个对象的类型在编译期是未知的。 反射的核心是 JVM 在运行时才动态加载类或调用方法/访问属性,它不需要事先(写代码的
java代码审计
qq_44256371的博客
12-06 1587
java代码审计
Java逆向和安卓逆向有什么区别吗
最新发布
03-24
<think>好的,用户想了解Java逆向工程和安卓逆向工程的区别及联系。我需要先回顾一下已有的引用内容,看看有没有相关的信息。引用[1]提到安卓逆向工程涉及APK逆向,而引用[5]则讨论了Android反编译工具,将APK转为Java代码。这说明安卓逆向和Java逆向可能有联系,但具体区别在哪里呢? 首先,Java逆向通常针对的是标准的Java应用程序,比如JAR或WAR文件,而安卓应用虽然用Java或Kotlin编写,但最终打包成APK,里面包含的是DEX文件。安卓逆向需要处理DEX转换为Smali或Java代码的过程,这可能比普通的Java逆向多一个步骤。例如,引用[2]提到将APK转为Smali工程,这可能涉及到反编译工具的不同。 然后,工具链方面,Java逆向可能用JD-GUI、FernFlower等,而安卓逆向可能需要dex2jar、Apktool、Jadx等,如引用[5]所述。这说明两者的工具不同,但可能有重叠的部分,比如都使用反编译工具。 另外,安卓应用的结构更复杂,包含资源文件、XML配置、Native代码(如SO库),而普通Java应用可能结构更简单。安卓逆向可能需要处理资源解密、Manifest分析等,这在Java逆向中可能不常见。引用[4]提到逆向实验涉及Smali代码注入,这可能也是安卓特有的。 联系方面,两者都涉及反编译和分析代码逻辑,可能都需要理解Java字节码。安卓逆向的基础可能建立在Java逆向之上,但需要额外处理安卓特有的组件和格式。比如,引用[5]指出APK反编译后得到Java代码,但中间步骤需要处理DEX文件。 用户可能想知道学习Java逆向是否有助于安卓逆向,或者两者的应用场景有何不同。比如,安卓逆向更多用于移动应用安全分析,而Java逆向可能用于服务器应用或桌面程序。同时,用户可能关心法律和道德问题,引用[1]和[5]都强调了合法使用的重要性。 总结区别点:目标文件格式不同(APK vs JAR)、工具链不同、处理步骤(DEX转换)、应用组件分析(四大组件)、资源处理。联系则是基础技术相似,都需要Java知识,反编译和代码分析的方法共通。 需要确保回答结构清晰,分点说明区别和联系,并引用提供的资料。例如,引用[2]提到Smali工程,引用[5]提到反编译工具,引用[4]涉及代码注入,这些都可以作为例子支持回答。</think>### Java逆向工程与安卓逆向工程的区别及联系 #### **一、核心区别** 1. **目标文件格式不同** - **Java逆向**:主要针对标准Java程序(如`.jar`或`.war`文件),直接处理Java字节码(`.class`文件)。 - **安卓逆向**:处理APK文件,其核心代码是经过优化的DEX字节码(`.dex`文件),需转换为Smali或Java代码后才能分析[^5]。 2. **工具链差异** - **Java逆向**:常用工具如JD-GUI、FernFlower、Procyon等,直接反编译`.class`文件为Java源码。 - **安卓逆向**:需多步骤工具链,例如: - 使用`Apktool`解包APK,提取资源文件和Smali代码[^2]; - 通过`dex2jar`将`.dex`转为`.jar`,再用Java逆向工具分析[^5]; - 专用工具如Jadx可直接反编译DEX为Java代码[^5]。 3. **代码结构与运行环境** - **Java逆向**:分析标准JVM环境下的逻辑,如类加载、多线程等。 - **安卓逆向**:需理解安卓特有组件(如Activity、Service)及框架(如Binder通信、资源管理)[^1][^4]。 4. **资源处理复杂度** - 安卓APK包含XML布局、图片等资源文件,需解密或重构(如反编译`AndroidManifest.xml`),而Java逆向较少涉及此类操作。 --- #### **二、核心联系** 1. **基础技术共通** 两者均依赖反编译、代码分析及调试技术。例如,安卓逆向中DEX转Java后,分析方法与Java逆向类似。 2. **代码逻辑分析相似性** 无论是Java还是安卓逆向,均需理解代码控制流、算法实现及第三方库调用逻辑。例如,逆向分析加密算法时,步骤基本一致[^4]。 3. **工具的部分重叠** 部分工具(如Jadx)支持同时处理Java和安卓逆向场景,且Smali代码与Java字节码有对应关系。 --- #### **三、典型应用场景对比** | **场景** | Java逆向工程 | 安卓逆向工程 | |------------------|----------------------------------|----------------------------------| | **安全审计** | 分析服务器端漏洞、加密逻辑 | 检测恶意行为、权限滥用 | | **代码复用** | 提取通用算法或工具类 | 借鉴UI实现或SDK功能 | | **调试优化** | 定位JVM性能问题 | 分析ANR崩溃、内存泄漏 | | **法律风险** | 需遵守软件许可协议 | 额外考虑移动端隐私法规 | --- #### **四、示例:逆向流程对比** **Java逆向流程** ```plaintext .jar文件 → JD-GUI反编译 → Java源码 → 分析逻辑 → 修改.class → 重新打包 ``` **安卓逆向流程** ```plaintext APK文件 → Apktool解包 → Smali代码修改 → 回编APK → 签名安装 或 APK → Jadx反编译 → Java源码 → 分析逻辑 → 修改Smali → 回编 ``` ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

goddemon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值