代码审计必备知识点:

1、代码审计开始前准备:

环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。

2、代码审计前信息收集:

审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等。

3、代码审计挖掘漏洞根本:

可控变量及特定函数,不存在过滤或过滤不严谨可以绕过导致的安全漏洞。

4、代码审计展开计划:

审计项目漏洞原理->审计思路->完整源码->应用框架->验证并利用漏洞。

代码审计两种方法:

功能点或关键字分析可能存在的漏洞

-抓包或搜索关键字找到代码出处及对应文件。

-追踪过滤或接收的数据函数,寻找触发此函数或代码的地方进行触发测试。

-常规或部分MVC模型源码可以采用关键字的搜索挖掘思路。

-框架 MVC 墨香源码一般会采用功能点分析抓包追踪挖掘思路。

1.搜索关键字找敏感函数

2.根据目标功能点判断可能存在的漏洞

Javaweb身份验证访问控制

审计此类漏洞的第一步就是要搞清楚代码的验证方式

开发做  访问控制身份验证  有几种技术方案实现:

1、自写传统验证代码——登录性判断文件查看代码

2、Shiro框架引用——看配置看引用看外部库

3、Filter过滤器——看配置看过滤器目录分析代码

4、JWT技术——看引用看外部库搜关键函数代码

案例:CNVD-Tumo-未授权访问-Shiro框架引用

1.根据cnvd公开的漏洞信息得知Tumo Blog博客存在未授权访问漏洞。可以利用漏洞删除别人评论。

项目下载地址:

https://github.com/TyCoding/tumo

直链地址下载

https://lp.lmboke.com/tumo-master.zip

2.下载好源码,将源码导入到IntelliJ IDEA ,首先查看pom.xml文件,发现里面引用了Shiro安全框架。而shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证和用户授权的

3.知道项目使用了Shiro框架,就可以查看shiro配置文件信息。

其中:

tumo.shiro.anon_url  —>代表不需要鉴权的配置

** —>表示该接口下的所有接口

也就是说tumo.shiro.anon_url中配置的目录都可以被普通用户任意操作。

4.查找tumo.shiro.anon_url配置的目录下有没有删除评论的操作。

最终在/comment 目录下找到了删除评论的操作。利用id接收要删除的评论,使用delete请求方式触发。

5.来到网站任意文章下写一条评论

6.审查元素,获取评论的id值为:8


7.访问删除评论的路由地址:/comment/8    使用的是get请求方式,所以并没有触发删除,返回的是评论信息


8.再次访问,使用burp抓包,修改为delete请求方式


9..放包,返回——成功

10.回到刚刚的文章评论处,发现评论已经不见了。删除评论成功。这个漏洞是因为管理员错误的配置Shiro配置文件导致的。

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。