代码审计 | 你一定会审的java系统
derian
- 关注
99+
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
收藏一下~
可以收录到专辑噢~
1.背景
一转眼2024年了,小帅的朋友----小胖今年就要毕业了,作为一个计算机科学与技术的大学生,在本科毕业的时候都会贡献出一套学生管理系统这样的毕业设计留给自己的母校,而小帅一个不甘平庸的安服仔,早早就开始布局java代码审计 ( 你这是看不起php? )。但是奈何网上的开源系统要么搭建繁琐,要么代码量巨大,功能太多,再或者就是一些java组件的代码审计,不适合新手入门,导致学习进度缓慢。既然小胖写了一套系统,这不刚好送上门吗?开干!
2.环境
问小胖要来部署文档,梦,开始了!
源码下载
https://gitee.com/huang-yk/student-manage
环境
1.Windows 10 2.jdk "1.8.0_172" 3.Mysql版本为5.7, PHPstudy集成的。 4.IDEA版本随意 2022.2 专业版
1.创建数据库
cms
2.导入sql文件
3.修改 application-local.yml 核心配置文件
4.加载 pom.xml 中的依赖
5.运行 启动文件
访问
http://localhost:8888/login/loginPage admin/123456
3.目标
通过该项目, 把java cms的代码审计checklist编写起来
4.审计
看一下源码的目录结构
先瞜一眼pom.xml , 很明显是一个spring的项目
审计第三方组件 pom.xml
fastjson mybatis shiro log4j
4.1.fastjson代码审计
使用idea打开项目,shift + ctrl + f 全局搜索,如果你是搜狗输入法请在高级中关闭
全局搜索
parse( parseObject(
无反序列化的函数调用, 漏洞不存在
4.2验证码绕过
直接黑盒测试, 发现登录存在验证码刷新机制
难道就不能爆破了吗?
这里使用burp抓包测试
发现登录失败, 并不是302再次跳转到登录页面, 很有可能存在验证码未在后端刷新存在缺陷, 导致暴力破解漏洞
抓包,尝试爆破
存在验证码缺陷导致的暴力破解漏洞
源码分析
具体漏洞产生的原因就写在代码注释里面了
4.3sql注入
项目使用的是mybatis, 直接全局搜索
${
也是一个没有,不放心, 进入 dao/查看*.xml
可试读前30%内容
¥ 9.9 全文查看
9.9元开通FVIP会员
畅读付费文章
畅读付费文章
最低0.3元/天
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 derian 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
文章目录