文章来源:https://xz.aliyun.com/t/1633 最近在先知上看到之前有篇关于java代码审计的文章总结的蛮好,记录以下特征函数,方便查阅,同时自己也会将在平时代码审计过程中积累的函数补充在这篇文章中.(虽然作者已经很贴心的提供了脚本). 1.xxe 常见解析xml的类有如下: javax.xml.parsers.DocumentBuilderjavax.xml.stream.XMLStreamReaderorg.jdom.input.SAXBuilderorg.jdom2.i

0x00 前言 java代码审计相关文章整理,持续更新. 0x01 java环境基础 搭建Java Web开发环境   配置IDEA编辑器开发java web,从0创建项目   IDEA动态调试   IDEA配置tomcat   maven配置和IDEA创建maven项目   IDEA如何导入eclipse项目   java基础环境配置,来自漏洞社区   0x02 java语法知识 菜鸟教程   理解java的三大特性之封装   理解java的三大特性之继承   理解java的三大特性之多态  

前言近日闲来无事,快两年都没怎么写代码了,打算写几行代码,做代码审计一年了,每天看代码都好几万行,突然发现自己都不会写代码了,真是很DT.想当初入门代码审计的时候真是非常难,网上几乎找不到什么java审计的资料,摸索了很长时间,搜到的也仅仅讲了点原理,为了给想学java代码审计的朋友门一点入门资料,就开始写<java代码审计连载>系列文章,本文章适合初学者,大牛留下脚印后请绕过,若代码有什么其他问题请忽略,因为那不是重点,此片只讲述SQL注入.本次写了两个简单的页面,一个登陆页面,一个查询id

ref:https://xz.aliyun.com/t/1633/ JAVA代码审计的一些Tips(附脚本) 概述 本文重点介绍JAVA安全编码与代码审计基础知识,会以漏洞及安全编码示例的方式介绍JAVA代码中常见Web漏洞的形成及相应的修复方案,同时对一些常见的漏洞函数进行例举.文章最后分享一个自动化查找危险函数的python脚本. XXE 介绍 XML文档结构包括XML声明.DTD文档类型定义(可选).文档元素.文档类型定义(DTD)的作用是定义 XML 文档的合法构建模块.DTD 可以在

初学 java 代码审计,跟着表哥们脚步,走一遍审计流程,就选了个没有使用 Java 框架的 java 系统,作为入门. 目的是为了熟悉代码审计流程,寻找漏洞的思路,入门记录. 准备工作 为了验证审计出的漏洞效果,还是要搭建起来系统,不然空说无凭.为了方便,使用 JspStudy 2016 一体化环境,选择 tomcat 8.0, jdk 1.8 搭建.查看代码使用 IDEA,当然,也可以用 jd-gui,反编译 class,不过 IDEA 自动就反编译了,比较方便. 值得注意的是,使用系统自带

分享一些Java安全相关文章,其中大部分都涉及到代码的分析与审计. 大家总是在找Java的代码审计的文章,但好像很多人选择性失明. 其实Java没有和PHP一样的简单,所以你觉得你看到的文章不是入门级的所以不认为这个是代码审计,所以会有种Java文章很少的错觉,其实这些都是代码审计. #JAVA安全# #Jdk7u21 反序列化漏洞Gadget原理 链接:Jdk7u21 反序列化漏洞Gadget原理 - Exploit的小站~ - CSDN博客 审计mybatis的sql注入链接:审计mybat

java代码审计的点 组件的审计 首先看pom.xml查看第三方组件和第三方组件的版本 常用的第三方组件: 第三方组件 漏洞类型 组件漏洞版本 log4j2 远程代码执行 Apache log4j2 >= 2.0, <= 2.14.1 Fastjson 反序列化远程代码执行 Fastjson <= 1.2.80 iBatis(MyBatis) SQL注入 Struts2 命令执行 Shiro 反序列化 中间件 Tomcat,WebLogic,WebShereJboss,Jetty,Gla

Java代码审计之不安全的Java代码 ​ 在打靶场的同时,需要想一下如果你是开发人员你会怎样去防御这种漏洞,而作为攻击方你又怎么去绕过开发人员的防御. 环境搭建 https://github.com/j3ers3/Hello-Java-Sec SQL注入 ​ SQLI(SQL Injection), SQL注入是因为程序未能正确对用户的输入进行检查,将用户的输入以拼接的方式带入SQL语句,导致了SQL注入的产生.攻击者可通过SQL注入直接获取数据库信息,造成信息泄漏. SQL注入之JDBC注入

作者:i春秋核心白帽yanzmi 原文来自:https://bbs.ichunqiu.com/thread-42149-1-1.html 本期斗哥带来Java代码审计的一些环境和工具准备. Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难,本文记录斗哥在开始去审计Java代码的一些准备,希望能够帮助到刚入门的新手朋友们. 0×00 Java环境说明 1. 安装Java环境 安装完成后默认的安装目录: 环境变量的配置,环境变量

0x00 前言 艰难徘徊这么久,终于迈出第一步,畏畏缩缩是阻碍大多数人前进的绊脚石,共勉. 系统是租车系统,这个系统是Adog师傅之前发在freebuf(http://www.freebuf.com/articles/web/162910.html)的,他审的时候没有发现sql注入,但在评论中有个师傅说有前台sql注入. 那么我就来找找前台的sql注入吧,虽说是java但其实代码审计的点都是通用的,万变不离其宗. 扯远了,这篇文章,算是踏入java代码审计领域的开篇. 0x01 基础环境搭建 源

Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353) 一.漏洞描述 该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露. 二.漏洞影响版本 所有jenkins主版本均受到影响(包括<=2.56版本) 所有的jenkins LTS均受到影响(包括<=2.46.1版本) 三.漏洞环境搭建 1. 官方下载jenkins-2.46-1.1.noarc

Java审计之文件操作漏洞篇 0x00 前言 本篇内容打算把Java审计中会遇到的一些文件操作的漏洞,都给叙述一遍.比如一些任意文件上传,文件下载,文件读取,文件删除,这些操作文件的漏洞. 0x01 文件上传漏洞 RandomAccessFile类上传文件案例: package com.test; import java.io.File; import java.io.FileOutputStream; import java.io.IOException; import java.io.Inp

Java安全之Fastjson反序列化漏洞分析 首发:先知论坛 0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础.利于后面的漏洞分析. 0x01 Fastjson使用 在分析漏洞前,还需要学习一些Fastjson库的简单使用. Fastjson概述 FastJson是啊里巴巴的的开源库,用于对JSON格式的数据进行解析和打包.其实简单的来说就是处理json格式的数据的.例如将json转换成一个类.或者是将一个类转换成一段json数据.在我前面的学习

Java安全之Cas反序列化漏洞分析 0x00 前言 某次项目中遇到Cas,以前没接触过,借此机会学习一波. 0x01 Cas 简介 CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目,开源的企业级单点登录解决方案. 0x02 远程调试环境搭建 下载地址,将环境war包下载,部署到tomcat即可 tomcat目录bin文件下,startup_debug.bat call %EXE

前言: 对于java的代码审计我就是一个小白,没有代码基础(不会java),从0开始记录我的java漏洞的审计学习之旅.对于java来说是一门很难的语言,但是不去学习就永远不会.对于一门很复杂的语言如果学习的过于仔细专研原理追求完美,容易跑偏消耗积极性和精力,我学的是代码审计而不是java开发,所以我学的比较有针对性,对此仅仅是我个人看法. 00x1: java的基础知识,由于语言的特性,我不是去搞开发所以根据以往的语言经验,我直接在菜鸟的java教程过一遍基础语法,了解java的语言特性,语法

一.SQL注入漏洞基本原理 在常见的web漏洞中,SQL注入漏洞较为常见,危害也较大.攻击者一旦利用系统中存在的SQL注入漏洞来发起攻击,在条件允许的情况下,不仅可以获取整站数据,还可通过进一步的渗透来获取服务器权限,从而进入内网. 注入攻击的本质,是把用户输入的数据当做代码执行.这里有两个关键条件,第一个是用户能够控制输入:第二个是原本程序要执行的代码,拼接了用户输入的数据.接下来说下SQL注入漏洞的原理. 举个栗子. 当用户发送GET请求: http://www.xxx.com/news.j

WebGoat-JWT JWT Tokens 01 概念 本课程将介绍如何使用JSON Web Token(JWT)进行身份验证,以及在使用JWT时需要注意的常见陷阱. 目标 教授如何安全地实现令牌的使用和这些令牌的验证. 介绍 许多应用程序使用JSON Web令牌(JWT)来允许客户机指示身份,以便在身份验证后进行进一步交换 JWT Tokens 02 JWT TOKEN的结构 让我们看看JWT令牌的结构. 令牌是base64-url编码的,由header.claims.signature三部

描述 很简单的代码审计 java安全--Fastjson反序列化 java安全--SQL注入 Fastjson 反序列化 首先看一下配置文件,对于Maven项目,我们首先从pom.xml文件开始审计引入的第三方组件是否存在漏洞版本,然后进一步验证该组件是否存在漏洞点,Fastjson 1.2.58版本存在反序列化漏洞. 关注两个函数:JSON.parse()和JSON.parseObject(),全局搜索两个关键字,查看项目是否存在JSON.parse()和JSON.parseObject(),

对某博客的代码审计 在gitee上面找了一个个人博客项目,来进行实战代码审计,主要还是学习为主 技术菜菜,哪里错误希望师傅们指正 1.SQL注入 先了解Java Web中的数据传输流程 graph TB id1(Controller.java 处理前台发送的请求) id1-->id2(Service.java 定义接口_业务逻辑) id2-->id3(ServiceImpl.java 对接口函数进行实现) id3-->id4(Mapper.java Mapper接口) id4-->

漏洞类型:安全模式绕过漏洞 漏洞描述:在Java端"%c0%ae"解析为"\uC0AE",最后转义为ASCCII低字符-".".通过这个方法可以绕过目录保护读取包配置文件信息 漏洞危害:这个漏洞极易被攻击者利用,使得网站受保护的敏感文件被读取 解决方案: 1.请访问其官方网站,下载Java的最新版本:http://www.java.com/zh_CN/ 2.加速乐已经可以防御该漏洞.请使用加速乐(http://www.jiasule.com)一键