本書是一部全面且深入的 Java 代碼審計指南����,旨在幫助讀者掌握 Java Web 應(yīng)用中常見安全漏洞的識別����、分析及防御技能����。全書共分 4 篇,從基礎(chǔ)到實戰(zhàn)����,系統(tǒng)地介紹 Java 代碼審計的各個方面����。
基礎(chǔ)篇(第 1 章)主要介紹 Java Web 環(huán)境的搭建步驟、常見的動態(tài)調(diào)試方法以及代碼審計工具的基本使用方法����,為后續(xù)的深入學(xué)習(xí)打下堅實基礎(chǔ)。
入門篇(第 2 章~第 3 章)首先介紹 Java 代碼審計中發(fā)現(xiàn)的常見漏洞����,然后通過實戰(zhàn)演練����,以開源 Java 漏洞靶場 Java-sec-code 為藍(lán)本����,運用代碼審計工具 CodeQL 進(jìn)行審計����。
高級篇(第 4 章~第 6 章)分別針對 Java Web 開發(fā)中常見的 SSM、SSH 及 Spring Boot + MyBatis 等框架進(jìn)行詳細(xì)介紹����,并選取其中典型的框架漏洞進(jìn)行深入剖析和調(diào)試分析����。
實戰(zhàn)篇(第 7 章)通過真實 Java Web 應(yīng)用程序的審計案例,詳細(xì)展示如何在實踐中運用 CodeQL 等審計工具快速發(fā)現(xiàn)并解決安全漏洞����。
本書是一本集理論與實踐于一體的 Java 代碼審計寶典����,適合軟件開發(fā)工程師����、網(wǎng)絡(luò)運維人員����、滲透測試工程師、網(wǎng)絡(luò)安全工程師及其他有志于從事網(wǎng)絡(luò)安全工作的人員閱讀學(xué)習(xí)����。
為開發(fā)者和網(wǎng)絡(luò)安全工程師量身打造����,系統(tǒng)介紹代碼審計的方法與實戰(zhàn)經(jīng)驗����;
深入分析常見組件漏洞����,詳盡講解CMS實戰(zhàn)案例����;
通過深入淺出的講解和豐富的案例����,讀者可以迅速掌握J(rèn)ava代碼審計方法����,提升自己在實際項目中的安全防護(hù)能力����。
王月兵
杭州美創(chuàng)科技股份有限公司59號安全實驗室負(fù)責(zé)人����,高級工程師����。長期致力于網(wǎng)絡(luò)安全和數(shù)據(jù)安全領(lǐng)域的研究����,在安全漏洞挖掘和網(wǎng)絡(luò)攻防方面積累了深厚的經(jīng)驗,多次受邀擔(dān)任公開課講師及各類安全會議的演講嘉賓����。迄今為止,已出版《數(shù)據(jù)安全實踐指南》和《內(nèi)網(wǎng)滲透實戰(zhàn)攻略》兩部著作����,在國內(nèi)期刊上發(fā)表了4篇學(xué)術(shù)論文����,并獲得了10項發(fā)明專利。此外,持有CISSP、CISP����、信息系統(tǒng)項目管理師等多項行業(yè)認(rèn)證����,被評定為杭州市高層次人才E類。
柳遵梁
杭州美創(chuàng)科技股份有限公司董事長兼CEO,高級工程師����,全國工商聯(lián)網(wǎng)絡(luò)與數(shù)據(jù)安全委員會委員����,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟常務(wù)理事����,中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟理事����,浙江省網(wǎng)絡(luò)空間安全協(xié)會數(shù)據(jù)安全治理專委會主任兼秘書長����,被評定為杭州市高層次人才D類����。擁有20年的數(shù)據(jù)管理和信息安全從業(yè)經(jīng)驗,在通信����、社保、醫(yī)療����、金融等民生行業(yè)積累了豐富的實踐經(jīng)驗����。具備長遠(yuǎn)的戰(zhàn)略眼光����,能夠準(zhǔn)確把握技術(shù)發(fā)展趨勢,持續(xù)推動公司創(chuàng)新����。帶領(lǐng)公司完成了運維、服務(wù)����、產(chǎn)品的多次轉(zhuǎn)型,成為國內(nèi)數(shù)據(jù)安全管理領(lǐng)域的領(lǐng)先綜合供應(yīng)商����。著有《內(nèi)網(wǎng)滲透實戰(zhàn)攻略》和《Oracle數(shù)據(jù)庫性能優(yōu)化方法論和最佳實踐》等圖書,并發(fā)表多篇學(xué)術(shù)文章����。
覃錦端
杭州美創(chuàng)科技股份有限公司59號安全實驗室研究員,中級信息安全工程師����,網(wǎng)絡(luò)與信息安全管理員技師,注冊信息安全專業(yè)人員(CISP)����。主要研究領(lǐng)域為網(wǎng)絡(luò)安全攻防、數(shù)據(jù)安全防御����,具有較為豐富的網(wǎng)絡(luò)安全攻防實戰(zhàn)經(jīng)驗。
劉聰
杭州美創(chuàng)科技股份有限公司59號安全實驗室研究員����,主要研究領(lǐng)域為ATT&CK框架����、Web安全和業(yè)務(wù)安全等����,獲得CISP資質(zhì)認(rèn)證,擁有豐富的傳統(tǒng)安全服務(wù)經(jīng)驗����,以及攻防演練紅藍(lán)隊實戰(zhàn)項目經(jīng)驗。
基礎(chǔ)篇
第 1 章 Java 代碼審計基礎(chǔ) 3
1.1 Java Web 環(huán)境的搭建 3
1.1.1 JDK 的安裝與配置 3
1.1.2 Tomcat 的安裝與配置 8
1.2 Java Web 動態(tài)調(diào)試方法 13
1.2.1 本地動態(tài)調(diào)試 13
1.2.2 遠(yuǎn)程動態(tài)調(diào)試 15
1.3 代碼審計工具介紹 24
1.3.1 IDEA 24
1.3.2 SpotBugs 28
1.3.3 Fortify 33
1.3.4 CodeQL 36
1.3.5 Semgrep 45
入門篇
第 2 章 Java 代碼審計常見漏洞 51
2.1 SQL 注入 51
2.1.1 SQL 注入簡介 51
2.1.2 常見的 SQL 注入漏洞 52
2.1.3 SQL 注入漏洞代碼審計要點與防御方法 66
2.2 XSS 漏洞 66
2.2.1 XSS 漏洞簡介 67
2.2.2 常見的 XSS 漏洞 67
2.2.3 XSS 漏洞代碼審計要點 70
2.2.4 XSS 漏洞的防御方法 70
2.3 命令執(zhí)行漏洞 71
2.3.1 命令執(zhí)行漏洞簡介 71
2.3.2 常見的命令執(zhí)行漏洞 71
2.3.3 命令執(zhí)行漏洞代碼審計要點 82
2.3.4 命令執(zhí)行漏洞的防御方法 82
2.4 XXE 漏洞 83
2.4.1 XXE 漏洞簡介 83
2.4.2 常見的 XXE 漏洞 83
2.4.3 XXE 漏洞代碼審計要點 91
2.4.4 XXE 漏洞的防御方法 91
2.5 任意文件上傳漏洞 92
2.5.1 任意文件上傳漏洞簡介 92
2.5.2 常見的任意文件上傳漏洞 93
2.5.3 任意文件上傳漏洞代碼審計要點 106
2.5.4 任意文件上傳漏洞的防御方法 107
2.6 SSRF 漏洞 109
2.6.1 SSRF 漏洞簡介 109
2.6.2 常見的 SSRF 漏洞 110
2.6.3 SSRF 漏洞代碼的審計要點 115
2.6.4 SSRF 漏洞的防御方法 115
2.7 反序列化漏洞 115
2.7.1 反序列化漏洞簡介 115
2.7.2 常見的反序列化漏洞 116
2.7.3 反序列化漏洞代碼審計要點 142
2.7.4 反序列化漏洞防御 142
第 3 章 基于 Java-sec-code 的代碼審計 143
3.1 Java-sec-code 源碼審計基礎(chǔ) 143
3.1.1 Java-sec-code 項目介紹及搭建 143
3.1.2 Java-sec-code 審計的CodeQL 配置 145
3.2 Java-sec-code SQL 注入漏洞代碼審計 147
3.2.1 常規(guī)手工審計 148
3.2.2 基于 CodeQL 的半自動化審計 153
3.3 Java-sec-code XSS 漏洞代碼審計 156
3.3.1 常規(guī)手工審計 156
3.3.2 基于 CodeQL 的半自動化審計 161
3.4 Java-sec-code 命令執(zhí)行漏洞代碼審計 163
3.4.1 常規(guī)手工審計 163
3.4.2 基于 CodeQL 的半自動化審計 168
3.5 Java-sec-code XXE 漏洞代碼審計 171
3.5.1 常規(guī)手工審計 171
3.5.2 基于 CodeQL 的半自動化審計 181
3.6 Java-sec-code 任意文件上傳漏洞代碼審計 188
3.6.1 常規(guī)手工審計 188
3.6.2 基于 CodeQL 的半自動化審計 196
3.7 Java-sec-code SSRF 漏洞代碼審計 198
3.7.1 常規(guī)手工審計 198
3.7.2 基于 CodeQL 的半自動化審計 208
3.8 Java-sec-code 反序列化漏洞代碼審計 214
3.8.1 常規(guī)手工審計 214
3.8.2 基于 CodeQL 的半自動化審計 242
高級篇
第 4 章 SSM 框架介紹及漏洞分析 247
4.1 SSM 框架介紹 247
4.2 SSM 框架漏洞分析 262
4.2.1 CVE-2022-22965 Spring Framework 遠(yuǎn)程代碼執(zhí)行漏洞分析 262
4.2.2 CVE-2020-26945 MyBatis 遠(yuǎn)程代碼執(zhí)行漏洞分析 273
4.3 SSM 框架代碼審計方法總結(jié) 279
第 5 章 SSH 框架介紹及漏洞分析 280
5.1 SSH 框架介紹 280
5.2 SSH 框架漏洞分析 293
5.2.1 Hibernate 框架 HQL 注入漏洞分析 294
5.2.2 Struts2 框架 S2-048 漏洞分析 297
5.2.3 Spring 框架 Messaging 組件遠(yuǎn)程代碼執(zhí)行漏洞分析 306
5.3 SSH 框架代碼審計方法總結(jié) 316
第 6 章 Spring Boot+MyBatis 框架介紹及漏洞分析 319
6.1 Spring Boot 介紹 319
6.2 Spring Boot 漏洞分析 326
6.2.1 Spring Boot Actuator 未授權(quán)訪問 327
6.2.2 CNVD-2016-04742 Spring Boot whitelabel error page SpEL RCE 分析 329
6.2.3 Spring Boot Actuator SnakeYAML RCE 338
6.2.4 CNVD-2019-11630 Spring Boot jolokia logback JNDI RCE 分析 346
6.2.5 Spring Boot restart logging.config groovy RCE 356
6.3 Spring Boot 框架代碼審計方法總結(jié) 366
6.3.1 Spring Boot SpEL 漏洞審計方法總結(jié) 366
6.3.2 Spring Boot JNDI 注入漏洞審計方法總結(jié) 367
6.3.3 Spring Boot groovy 腳本漏洞審計方法總結(jié) 367
6.3.4 MyBatis SQL 注入漏洞審計方法總結(jié) 368
實戰(zhàn)篇
第 7 章 代碼審計實戰(zhàn) 371
7.1 youkefu 代碼審計 371
7.1.1 youkefu 介紹及環(huán)境搭建 371
7.1.2 SSRF 漏洞代碼審計 375
7.1.3 反序列化漏洞代碼審計 381
7.1.4 XXE 漏洞代碼審計 385
7.1.5 SQL 注入漏洞代碼審計 391
7.1.6 任意文件上傳漏洞代碼審計 396
7.2 JeeWMS 代碼審計 401
7.2.1 JeeWMS 環(huán)境搭建 402
7.2.2 JeeWMS XXE 漏洞審計 409
7.2.3 JeeWMS 任意文件下載漏洞審計 416
7.2.4 JeeWMS 任意文件上傳漏洞審計 421
7.2.5 JeeWMS SQL 注入漏洞審計 428
