Java web审计(五)–jd-gui反编译与eclipse插件findsecbugs、jad-eclipse与DependencyCheck工具

一.反编译jar(jd-gui、jad-eclipse)

jd-gui

1.

jd-gui安装:http://www.downza.cn/soft/228025.html(国外那个几百kb都一直断)

2.

jd-gui使用:https://jingyan.baidu.com/article/597a064324142d312b52430f.html

第二种直接在eclipse中查看class的源码

(1)安装可参考:https://blog.csdn.net/elladu/article/details/17041089

(2)

上面是一顿操作,看下就行了,上面个人踩的各种坑

直接看就可解决jar反编译:https://blog.csdn.net/weixin_38322326/article/details/83511269

(3)如果出现source not found,可参考:

https://blog.csdn.net/zhuzuwei/article/details/81079130
https://www.cnblogs.com/taowangwang/p/9484254.htm

(4)加载单个jar文件,可参考:https://blog.csdn.net/u014082714/article/details/52074865(build path)

第三种利用jad.exe查看class源码:

jad -o -r -sjava -d src bin/*/.class 参考:https://www.jianshu.com/p/2f812a6162c8

二.eclipse插件安装(findsecbugs、jad-eclipse(上文第一段))

3. eclipse插件安装教程:https://www.runoob.com/eclipse/eclipse-install-plugins.html

4.

安装一个eclipse的代码规范插件:Checkstyle与FindBugs

与idea那个代码规范的配置一样

FindBugs :https://jayl1n.github.io/2018/10/25/java-audit-step-by-step-1/

5.

eclipse 安装findbugs 规则库:http://find-sec-bugs.github.io/download.htm

idea与eclipse安装findsecbugs:https://www.anquanke.com/post/id/154476

6.使用eclipse的findsecbugs

右键-spotbugs-markers输出(若没有,windows-show views-markers)-右键show bug info即可

三. pom.xml第三方库检测

安装DependencyCheck:https://github.com/jeremylong/DependencyCheck

检测第三方库是否有已知的安全漏洞

使用DependencyCheck:http://www.mianhuage.com/913.html

.\bin\dependency-check.bat --project Testing --out . --scan [path to jar files to be scanned]

2019.8.9