当前位置:   article > 正文

初识java代码审计(java web网站)_java代码审计,源码从哪来

java代码审计,源码从哪来

1.1、代码审计概述

代码审计是一种以发现安全漏洞、程序错误和违反程序规范为目标的源代码 分析。在实践时,可以通过人工审查或者自动化工具的方式。对程序源代码执行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。

代码审计对象包括并不限于windows和linux系统环境下的以下语言审核:java、c、c#、asp、php、jsp、.net (思路相似)

1.1.1 黑盒测试与白盒测试的区别

黑盒测试:就是把测试对象看作一个不能打开的黑盒子。测试时,测试人员完全不用考虑盒子里面的逻辑结构和具体运作,只依据程序的需求规格说明书,检查程序的功能是否符合它的功能说明,检验输出结果对不对。

白盒测试:与黑盒测试恰恰相反,这种方式是把测试对象看作一个打开的透明盒子。测试时,测试人员会利用程序内部的逻辑结构及有关信息,通过在不同点检查程序状态,检验程序中的每条通路是否都按预定要求执行正确工作。

测试对象不同:

黑盒测试:主要针对的是程序所展现给用户的功能。

白盒测试:主要针对的是程序代码逻辑,简单的说,就是前者则是最终展示功能,后者测试后台程序。

测试方法不同:

黑盒测试:功能测试,是通过测试来检测每个功能是否都能正常使用。

白盒测试:成结构检测、透明盒检测、逻辑驱动测试或基于代码的测试。

1.1.2 网络安全领域中的黑盒、白盒与灰盒测试

接下来对黑盒、白盒、灰盒三个概念在渗透测试中的解释

黑盒测试:也称为外部测试。对攻击目标网络内部拓扑一无所知,完全模拟真实黑客有组织有步骤的渗透入侵过程。(对攻击者要求高,需要进行大量的信息收集)

白盒测试:也称为内部测试。对渗透攻击目标网络非常了解,以最小的代码开展系统安全探测。

灰盒测试:可以理解为白盒测试和黑盒测试的混合测试。

1.1.3 代码审计的重要意义

代码审计对攻防研究有着重要的意义。在攻击方面,可以从各个平台找到系统泄露的源代码,执行审计,然后利用审计的漏洞获取系统权限。在防御方面,代码审计可以发现更多更隐蔽的漏洞,在产品上线前将问题解决,有望在黑客发现利用web漏洞之前,找出安全隐患,并将其修复,提高系统安全性。在攻击方面,若渗透人员不了解代码审计,则可能在渗透测试实战中难以“观察入微”,渗透测试人员遇到的麻烦包括但是不仅限于:

(1)遗漏在网站代码里潜在的漏洞

(2)盲目测试,做无用功

(3)对于部分漏洞无法通过黑盒测试发现,如:反序列话漏洞、命令执行漏洞、代码执行漏洞等。

以往通过扫描器扫描站点或利用Nday执行渗透测试的方式已逐渐称为过去式,目前比较流行的渗透流程:确定站点指纹→通过旁站扫描备份或开源程序获取源码→代码审计→利用审计发现漏洞。

1.2 java代码审计基础

1.2.1 java代码审计基础能力

java代码审计要求代码审计人员能“动静结合”,即要求审计人员具备一定的编程基础,了解基本语法与面向对象思想。能够通过阅读代码理解代码逻辑,并善于查阅文档和资料就能解决大多数问题;“动”即要求代码审计人员具备调试程序的能力。

1.2.2 java代码审计技术基础

学习java代码审计必备技术栈与学习路线:

1.java SE基础:基础语法、面向对象编程、序列化、反射

2.javaweb基础知识:HTML、css、javascript、mysql、jdbc(与数据库进行交互的时候使用的API)、mvc、servlet、jsp、tomcat、xmldeng

3.java框架:ssm、springboot等

4.java安全漏洞与代码审计

1.3 java代码审计常用思路

1.接口排查:先找出接口外部接受的参数,并跟踪其传递过程,观察是否有参数校验不严传入高危方法(函数)中。或者在传递过程中是否有代码逻辑漏洞。

特点:相比逆向追中挖掘更全面,但效率相对较低。

2.危险方法硕源:检查敏感方法(函数)的参数,并查看参数的传递与处理。判断变量是否可控并且已经过严格的过滤:

优点:只需要搜索相应敏感关键字,即可以快速地挖掘想要的漏洞,具有定向挖掘和高效、高质量的优点。

缺点:由于没有读通代码,对程序代码理解不够深入,在挖掘漏洞时定位利用会花费一些时间,另外对逻辑漏洞挖掘覆盖不到。

3.功能定向审计:根据经验判断该类应用通常会在哪些功能中出现漏洞,直接审计该类功能的代码。

4.第三方

注入漏洞

1、定义:

注入漏洞,是指攻击方可以通过HTTP请求将Payload注入到代码中,导致payload被当作正常代码执行的漏洞。

例如:SQL注入漏洞,攻击方注入的payload插入SQL语句中,并且由SQL引擎解析成SQL代码,影响原SQL语句的逻辑,从而形成注入漏洞。存在数据泄露、数据丢失等风险。

同样,文件包含漏洞、命令执行漏洞、代码执行漏洞的原理也类似,也可以看作代码注入漏洞。

一、SQL注入漏洞

1.定义:

SQL注入(SQL injection)是因为程序中未能够正确对用户的输入执行检查,将用户输入以拼接的方式带入SQL语句中,导致了SQL注入的产生。攻击者可以通过SQL注入可直接窃取数据库信息,造成信息泄露,甚至获取web应用程序的权限。

所以SQL注入在多年的OWASP(开放式Web应用程序安全项目) top 10中。

SQL漏洞出现的常见位置(登录注册功能、搜索框、文章渲染、前后台)

造成SQL注入漏洞的分类:

JDBC拼接不当造成SQL注入:

JDBC有两种方法执行SQL语句,分别为PrepareStatement 和Statement。这两种方法区别在于PrepareStatement会对SQL语句进行预编译,而Statement方法在每次执行时都需要编译,会增大系统开销,理论上PrepareStatement的效率和安全性会比Statement要好。但并不意味着使用PrepareStatement就绝对安全,不会产生SQL注入。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/你好赵伟/article/detail/682168
推荐阅读
相关标签
  

闽ICP备14008679号