代码审计入门之前篇

0x00 前言

本篇是代码审计的入门篇,最近准备学习Java代码审计,但是网上关于Java代码审计的文章实在太少,而且不太全面,所以打算在学习过程中,自己整理一份笔记。

学习Java代码审计前提:1.有一定的Java基础;2.了解基本漏洞原理。

0x01 审计工具及环境

  • Eclipse Java 2018
  • Tomcat 7.0
  • JDK 1.8.0
  • MySQL 8.0.15
  • 审计工具:Fortify
  • Windows10

0x02 代码审计介绍

1.什么是代码审计?

代码审计是指有开发和安全经验的人员,通过阅读开发文档和源代码,以自动化分析工具或者人工分析手段,对代码进入深入分析,高效全面的发现系统代码的编码缺陷以及开发人员不安全的编程习惯,并指导开发人员进行修复,保障应用系统的安全运行。

2.渗透测试VS代码测试

渗透测试---黑盒测试---黑客攻击----盲打
优点:高速提交测试参数,快速发现多层结构漏洞
代码测试---白盒测试---根据代码检查漏洞
优点:全面、深入的发现漏洞

二者关系:
代码审计发现问题,渗透测试确定可利用性。
渗透测试发现问题,代码审计确定成因。

代码审计的收益:
更彻底、全面
提高代码质量
降低成本

3.代码审计前置知识:

clipboard.png

0x03 基础知识

1.JAVA内置对象:

九大对象无需声明直接使用
request 、session、application、out、response、pageContext、config 、page、exception

2.JAVA中的危险函数:

getParameter()、getcookies()、getQueryString()、getheaders()、Runtime.exec()、logger.info、password、upload、download

3.JAVA开发过程中包的命名规范

Java的包名都用小写单词组成,类名首字母大写;

clipboard2.png

如上图所示,在 Java 中,会有各种各样的包,大致规则如下:

    indi :
         个体项目,指个人发起,但非自己独自完成的项目,可公开或私有项目,copyright主要属于发起者。
         包名为:“indi.发起者名.项目名.模块名.……”。

    pers :
         个人项目,指个人发起,独自完成,可分享的项目,copyright主要属于个人。
         包名为:“pers.个人名.项目名.模块名.……”。

    priv :
         私有项目,指个人发起,独自完成,非公开的私人使用的项目,copyright属于个人。
         包名为:“priv.个人名.项目名.模块名.……”。

    onem :
         与“indi”相同,推荐使用“indi”。
    另外,我为了区分团队项目和前面所说项目的区分,还有了一下扩展:

    team :
         团队项目,指由团队发起,并由该团队开发的项目,copyright属于该团队所有。
         包名为:“team.团队名.项目名.模块名.……”。

    com :
    公司项目,copyright由项目发起的公司所有。
         包名为:“com.公司名.项目名.模块名.……”。

持久层:dao、persist、mapper
实体类:entity、model、bean、javabean、pojo
业务逻辑:service、biz
控制器:controller、servlet、action、web
过滤器:filter
异常:exception
监听器:listener

在不同的框架下一般包的命名规则不同,但大概如上,不同功能的 Java 文件放在不同的包中,根据 Java 文件的功能统一安放及命名。

4.介绍JSP

  • JSP 技术是以 Java 语言作为脚本语言的,JSP 网页为整个服务器端的 Java 库单元提供了一个接口来服务于HTTP的应用程序。
  • JSP文件后缀名为 *.jsp 。
  • JSP全称Java Server
    Pages,是一种动态网页开发技术。它使用JSP标签在HTML网页中插入Java代码。标签通常以<%开头以%>结束。
  • JSP是一种Java servlet,主要用于实现Java web应用程序的用户界面部分。

看下图了解JSP的生命周期及客户端请求的过程:

3.jpg

5.servlet

什么是 servlet?(来自菜鸟教程)
Java Servlet 是运行在 Web 服务器或应用服务器上的程序,它是作为来自 Web 浏览器或其他 HTTP 客户端的请求和 HTTP 服务器上的数据库或应用程序之间的中间层。

使用 Servlet,您可以收集来自网页表单的用户输入,呈现来自数据库或者其他源的记录,还可以动态创建网页。

Servlet 任务

  • 读取客户端(浏览器)发送的显式的数据。这包括网页上的 HTML 表单,或者也可以是来自 applet 或自定义的 HTTP
    客户端程序的表单。
  • 读取客户端(浏览器)发送的隐式的 HTTP 请求数据。这包括 cookies、媒体类型和浏览器能理解的压缩格式等等。
  • 处理数据并生成结果。这个过程可能需要访问数据库,执行 RMI 或 CORBA 调用,调用 Web 服务,或者直接计算得出对应的响应。
  • 发送显式的数据(即文档)到客户端(浏览器)。该文档的格式可以是多种多样的,包括文本文件(HTML 或 XML)、二进制文件(GIF
    图像)、Excel 等。
  • 发送隐式的 HTTP 响应到客户端(浏览器)。这包括告诉浏览器或其他客户端被返回的文档类型(例如 HTML),设置 cookies
    和缓存参数,以及其他类似的任务。

Servlet 生命周期
Servlet 的生命周期分为三个阶段, 分别对应Servlet中的三个接口.

  • Servlet 通过调用 init () 方法进行初始化。
  • Servlet 调用 service() 方法来处理客户端的请求。
  • Servlet 通过调用 destroy() 方法终止(结束)。

最后,Servlet 是由 JVM 的垃圾回收器进行垃圾回收的。

init()方法仅在服务器装载Servlet时才由服务器执行一次,而每次客户向服务器发请求时,服务器就会调用Service()方法。 这里主要介绍一下service() 方法。
service() 方法是执行实际任务的主要方法,Servlet 容器(即 Web 服务器)调用 service() 方法来处理来自客户端(浏览器)的请求,并把格式化的响应写回给客户端。每次服务器接收到一个 Servlet 请求时,服务器会产生一个新的线程并调用服务。service() 方法检查 HTTP 请求类型(GET、POST、PUT、DELETE 等),并在适当的时候调用 doGet、doPost、doPut,doDelete 等方法。

public void service(ServletRequest request, 
                    ServletResponse response) 
      throws ServletException, IOException{
}

以上代码,即为一个service()方法的特征

0x04 参考文章:

https://www.cnpanda.net/codeaudit/588.html
https://blog.csdn.net/kongjiea/article/details/45365753
https://www.runoob.com/servlet/servlet-intro.html
https://www.runoob.com/jsp/jsp-intro.html

标签: none

添加新评论