JAVA代码审计2个小tips

最新推荐文章于 2025-08-05 17:34:52 发布
最新推荐文章于 2025-08-05 17:34:52 发布
阅读量564 收藏 5
点赞数 4
CC 4.0 BY-SA版权
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33942040/article/details/138571573

1、lib文件过多时,快速定位lib代码文件

如已知java-callgraph找出的类名
但不知道在哪个lib文件时可利用该工具快速获取到相关lib,适用于大量不知道lib文件的情况。
SearchClassInJar.jar
image.png

2、快速定位api路由思路

静态:

springmvc框架

老生常谈的东西了
IDEA的RestfulTool插件,一键化提取spring mvc框架的api路由。
image.png
image.png
一键化提取相关API
然后crtl+all即可
image.png

struts2框架:

这个框架的静态路由提取外面就讲的比较少了,因为不同的struts2 路由写法可能大概都不相同。
但是经过如果有深入去实际研究的话会发现基本上都是
命名空间/类名,函数,特定构造方法进行构造的路由。
因此我们可以有限提取出相关的类名,方法名。而后按照固定格式去构造。

如这里以codeql构造以例
采用这个方法进行构造一个完整的路由。

import java

from RefType c, Callable cf
where 
c.getName().toLowerCase().regexpMatch(".*action") and
cf = c.getAMember() and
not c.getName().regexpMatch(".*<.*>.*")
select c+".do?method="+cf

如果不会用codeql也可采用,提取出相关的类名,方法
而后转个python脚本,进行特定构造即可。
image.png

非静态(代码可运行):

强烈推荐这个项目,如果代码可跑起来,可直接调用该router-router去获取路由。
https://github.com/kyo-w/router-router

原理:

https://xz.aliyun.com/t/12651
调试技术可以获取一个jvm

SocketAttachingConnector socketAttachingConnector = new SocketAttachingConnector();
Map<String, Connector.Argument> argumentHashMap = socketAttachingConnector.defaultArguments();
argumentHashMap.get("hostname").setValue("127.0.0.1");
argumentHashMap.get("port").setValue("5005");
argumentHashMap.get("timeout").setValue("3000");
VirtualMachine attach = socketAttachingConnector.attach(argumentHashMap);

然后基于jvm中去获取相关中间组件的路由即可

使用条件:
  • Java JDK11
  • 网络端口默认9090

image.png
启动端口后
image.png
连接然后启动路由即可
然后调试完成后即可自动化获取到路由了93f0106a1a76ed3630dbf114ba91efcc.png
d53c3fe6080d6f2aa986a4b7b0633da3.png

代码审计思路(上)
武天旭的博客
10-05 2379
一个Java应用的代码审计工作应该从哪里入手,对于新手来说也许会不知所措,如果在不了解整个应用系统情况下(包括业务功能、框架使用等)盲目的直接去阅读项目中源代码,往往会迷失在代码中导致漏洞误报漏报情况,审计效率同样不高。所以在审计之前要了解应用系统主要业务逻辑,其次是了解项目的结构和项目当中的类依赖。再次才是去根据业务模块去读对应的代码,从功能去关联业务代码往往比逮着段代码就看效率高很多。
[代码审计篇]php代码审计之浅析Phar伪协议
qq_43668710的博客
04-15 1634
0x01 前言 简要说明 写这篇博客的目的只有两个 为**[代码审计篇]**中关于php反序列化漏洞的审计作铺垫 为上一篇博客做点漏洞原理的补充 环境工具 Win10 Phpstudy_pro Sublime_Text 3 注意(tips) PHAR的使用需要将php.ini设置phar.readonly设置为Off才能用于PHAR对象 PHAR 这个词是PHP和 Archive的组合词,基...
代码审计】—JAVA项目注入、上传、插件挖掘
haoaaao的博客
08-06 611
代码审计】—JAVA项目注入、上传、插件挖掘
Jarsearch Eclipse 插件 搜索文件所在jar包
dknypxt的专栏
06-15 8975
<br />如果我们需要查找某个类所在的jar类,可以通过Ctrl+Shift+t来查找。但是这种查找只能找到被加入到classpath中的类。如果需要找一个不在classpath下的包的话就可以通过Jarsearch来查找了。这对于查找某个不熟悉的第三方包非常有用。<br />下面是介绍一下方法。<br />只要将alainpannetier.jarsearch_1.0.0.jar文件拷到myclipse的插件目录下,如<br />E:/Program Files/MyEclipse 6.6/eclips
从0到1实现一个IDEA代码审计插件
一个安全研究员
04-21 2681
想写这篇文章好久了,重度拖延症患者就是拖拖拖… 然后本文主要是给大家介绍一下怎么实现一个IDEA静态代码检测插件,现在都在讲安全左移嘛,我觉得静态代码检测插件就是一个安全左移很好的落地,于是就想着学习一下 我自己在写这个插件的起步阶段其实遇到了很多问题,这些问题肯定也会是每一个想要写插件的人都会遇到的,所以,我就简单记录下我的开发过程供来者参考 开发环境搭建 首先得确保你的Plugin DevKit插件成功安装并启用了,一般情况下idea都自带了这个插件,你只需要手动启用一下就行,启用过后记得重启 然后创
Java之struts2框架学习
weixin_72753070的博客
07-22 1470
Action默认以execute为入口方法处理,当然也可以通过struts.xml修改配置来达到不用execute方法/∥继承ActionSupport类//处理登录//参数和业务略System.out.println("我是登录");//处理注册//参数和业务略System.out.println("我是注册");}Struts.xml配置,method="login"表示要调用类中的login方法处理请求。如果找不到login0方法,Struts2会在类中查找doLogin)方法。...
Java Web常见框架寻找路由技巧
小司机的奥拓
07-17 963
Java Web代码审计中,寻找和识别路由是很关键的部分。通过注册的路由可以找到当前应用对应的Controller,其作为MVC架构中的一个组件,可以说是每个用户交互的入口点。请求分发:控制器接收来自用户的HTTP请求,并根据请求的URL和HTTP方法(如GET、POST等)将请求分发到相应的处理方法。参数绑定:控制器将请求中的参数(如查询参数、表单数据、JSON对象等)绑定到处理方法的参数上。业务逻辑调用:控制器调用服务层(Service Layer)的组件来执行业务逻辑,如数据处理、计算等。
Java代码审计篇 | ofcms系统审计思路讲解 - 篇4 | XXE漏洞审计
哦 卷!
09-14 1346
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。XXE漏洞审计Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制。
Java代码审计篇 | ofcms系统审计思路讲解 - 篇3 | 文件上传漏洞审计
哦 卷!
09-10 2023
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。SQL注入漏洞审计Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制。
代码审计】—PHP
haoaaao的博客
08-03 936
代码审计学习-PHP无框架项目SQL注入挖掘
快速定位class文件jar包
05-18
安装此插件,可快速定位到class文件。安装此插件,可快速定位到class文件。安装此插件,可快速定位到class文件。再也不用一层层目录去找了。
JarSearch,Java Class类所在的Jar包搜索器
03-27
JarSearch by 五棵树 -------------------------------------------------------------------------- 功能说明: 从选定的目录里面,查找出所有包含所指定的Java Class类的Jar包。 -------------------------------------------------------------------------- 使用方法: 1、请首先输入需要查找的Java Class类,需要输入完整的Class类路径(包含包名), 例如: org.apache.log4j.Logger 2、选择需要查找的jar文件所在目录,例如: D:\log4j\lib 3、然后点击搜索按钮即可。
java 从jar包中或者指定路径下加载Class类
尔过的博客
03-20 4213
最近有一个需求就是从指定路径下加载jar中或者指定路径下class文件到虚拟机中供SpringIoc 容器动态注入。 寻找了一些资料并将成果分享出来 从jar 中加载class文件示例 public static void searchClass(String filePath) throws MalformedURLException, NoSuchMethodException ...
Eclipse插件之SearchInJar
pcwang
11-28 488
eclipse自带的search功能虽然非常强大,但是它不能够在jar包中的文本文件或java源码中搜索某个关键字。SearchInJar是一款eclipse插件,扩展了原有的search功能。可以在选择的范围中的jar包里查找到匹配你输入的关键字的文本文件和class文件(提供了java源码)。同时也可以搜索匹配关键字的文件名和java包名。 插件见附件,如在安装过程中出现如下错误: j...
找到class 所在的jar
明鱼
05-11 1785
当面对一堆jar 文件的时候, 如何找到 每个特定的class (e.g. com.magic.FindMe.class )在那个jar 文件中。 显示jar (e.g. my.jar)文件中的class 显示当前目录的jar 文件 用shell 组合起来 我们需要准备知识 显示jar (e.g. my.jar)文件中的class jar -tf my....
查找类class所在的jar包
weixin_30502157的博客
07-21 730
CTRL+SHIFT+R 意思是输入关键字搜索当前工程的 对象。 CTRL+SHIFT+T 输入关键字搜索当前工程的类。 转载于:https://www.cnblogs.com/20000ding/p/5691967.html
JVM 01 运行区域
2301_79308687的博客
08-02 1097
虚拟机隐藏平台差异,解决不同平台代码运行结果不一致问题,实现,实现用户代码跨平台。它本身是一个操作系统上的应用程序,将字节码文件翻译成特定机器的机器码。
Flash循环存储的地址回绕处理:跨边界写入的三种实现方案
最新发布
u010360138的博客
08-05 597
本文介绍了三种实现Flash循环存储地址计算的方法:1)条件判断法通过显式判断是否溢出实现地址回绕,逻辑清晰通用性强;2)模运算法利用取模运算自动处理地址回绕,代码简洁;3)位掩码法在存储区大小为2的幂时使用位与运算替代模运算,性能最优。三种方法功能等效但各有特点,选择时应考虑存储区特性、性能需求和代码可读性。关键注意事项包括写入延迟、地址有效性检查和边界条件处理。
mybatis-plus动态数据源
qq_62408075的博客
08-01 217
不同于mybatis动态数据,mybatisplus自带很多查询方法。
《330 Java Tips》- Java开发实用小技巧合集
"这是一本名为'330 Java Tips'的书籍,收集了330个关于Java编程的小技巧,旨在帮助开发者解决遇到的问题。这本书采用'like ware'的模式,如果你喜欢并能支付$4.95,作者鼓励你购买支持;否则,你可以免费保留并分享...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

goddemon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值