Java web审计(六)–实例小结

  • by

Java和Python审计两个专题被个人拖了很久,这两天直接以相关实例,阶段小结束一下

一直没有找到合适的fuzz Java代码的审计工具,老旧的工具和相关插件误报、不报太严重了

参考:https://landgrey.me/liuxing-java-code-audit/(铁人下载系统)

下载:http://down.chinaz.com/soft/25711.htm

一.前期准备:

1.反编译:jad -o -r -s java -d src liuxing/*/.class
有些反编译不出来,暂不影响审计(可自行尝试jd-gui)
2.根据关键功能定位漏洞
一步一步跟函数
3.根据web.xml的全局函数,查找相关不严谨性代码
4.根据相关函数定位漏洞
这个也是个人为什么要先搭建webgoat的原因,webgoat中有很多典型不严谨用法和函数,可以大量套用借鉴

5.

https://www.codercto.com/a/58559.html
https://www.freebuf.com/articles/web/194836.html 很强,还有待理解
http://blog.orleven.com/2018/01/17/code-audit-java/ 每个漏洞的合格与不合格代码以及利用(总结的相当不错的基础Java Web函数不安全使用的文章)

二.具体地方

后台的sql
后台的上传
存储型xss(预参数化并不转化符号,无防御xss)

权限逻辑只要不是太哈,一般没有问题

2019.9.14

发表评论

电子邮件地址不会被公开。 必填项已用*标注