目录
- 演示案例
- Javaweb代码分析-目录遍历安全问题
- Javaweb代码分析-前端验证安全问题
- Javaweb代码分析-逻辑越权安全问题
- Javaweb代码分析-XSS跨站安全问题
- 拓展-安卓APP反编译JAVA代码(审计不香吗?)
演示案例
Javaweb代码分析-目录遍历安全问题
代码解析及框架源码追踪:
第一关:
Payload: …/x
…/相当于跨越上级目录的符号,…/x可以更改默认上传文件的路径
通过命名文件的名字,在文件名命名加入路径符号,来实现将这个文件在上传路径上的更改
目录解析,如果对方设置了目录解析的权限,相对应的在这个目录下面的文件,会受到这个权限的借力,比如说这个是上传文件的目录,那么它可以设置目录不给予脚本执行权限,那么即使你的后门上传到这个目录,也无法执行,那如果我们能够操作这个图片报错路径的话,我们就可以跳过这个目录,因为其它目录没有设置禁止脚本执行权限的话,那么就能正常执行,所以这种把文件跨目录保存的话可以解决禁止目录脚本执行的问题
设置目录的解析权限,一旦设置之后,你的后门就无法执行,上传上去没有用,没有执行权限
第二关:
Payload: …//x
可以防过滤
Javaweb代码分析-前端验证安全问题
#熟悉代码结构及硕源代码文件
jar文件是class文件,一种编译性文件
Javaweb代码分析-逻辑越权安全问题
代码分析过关逻辑
枚举用户参数对应数据库的其他数据信息
role.userid
通过参数值构造URL获取用户更多的信息
我们在传递参数的时候,之前它只接收你三个参数,然后你输入5个参数,相当于其中2个参数,网上的前端页面是根据代码来决定显示3个数据还是2个数据,默认是显示3个,这个时候我们可以通过数据包的提交,让它多显示几个出来,就对其它信息的完整性进行读取
前端页面只展示我们的个人信息,我们可以通过数据包的发送,让它展示更多的信息
在黑色产业链里面,设计个人信息安全的时候,一个网站登录上去,它显示你的名字,不显示你的个人信息、联系电话号码,我们可以通过对象引用,来尝试是否能够获取对应数据库列里的信息,这个信息在我们爬虫里面,都是有帮助的
通过接口枚举获取更多的用户信息,不断地更改值,来实现用户的遍历,用户的数据的读取,爬虫里面也经常用到这种知识,或者我们的水平越权也经常涉及到id值的更改,访问对应的不同界面,通过输入获取不同用户的id值
Javaweb代码分析-XSS跨站安全问题
代码分析结合页面解释过关
在不同的语言开发环境下面,xss漏洞是不会受到影响的,其中会受到影响的漏洞,我们举个例子,反序列化漏洞,因为漏洞产生的原理不一样,php里面有的魔术方法,java里面没有;sql注入也有区别,java里面内置的功能有预编译,这也就是注入在java里面很少的原因,PHP常见的没有这样写,jwt这种东西也是经常在java里面出现,像文件上传、xss这种漏洞基本上就是一样的,这个就是php和java在常见漏洞上的具体差异
拓展-安卓APP反编译JAVA代码(审计不香吗?)
核心知识点:Java代码分析 === Apk_App分析
模块引用 (框架,自带等),路由地址,静态文件 (html、js等),简易代码理解等
apk是用java开发的,apk网上有相应的反编译和逆向技术,我们通过反编译把apk的源代码分析出来,那不就是java代码,分析代码就是找里面的漏洞,所以apk安全就是app安全
安卓和Java有关系,懂java就是懂安卓,因为apk大部分都是用java开发的
我们不用去懂反编译,因为这涉及到安卓逆向的一些东西了,我对逆向破解不是很熟悉
把apk文件拖到一键反编译里面去
把需要反编译的文件拖到窗口就完事了,不需要去做其它事情
这个就是代码
用idea打开
我们看得懂java代码,那apk也是你的项目,如果对方招聘你做移动项目,那你肯定了解
java代码审计不只针对网站的,网站叫javaweb代码审计,app形式的,没有web协议的都叫java代码审计,代码都是一样的
javaweb就是我们常说的那些注入漏洞,因为这些漏洞都是产生在web协议的,如果没有web的话,那挖的就不是这个漏洞,是一些逻辑性的漏洞,没有涉及到网站的一些东西
你学到这些东西,就可以分析到javaweb的项目,分析移动、安卓、apk的,这些项目的安全
本篇文章主要讲的是如何通过漏洞的情况来分析到对应的代码,然后简单读懂代码的过程,找到jar文件的东西,这就是文章的重点