一款功能强大的Java自动代码审计工具

admin 2023年1月11日16:54:00评论156 views字数 1982阅读6分36秒阅读模式


来自许少(4ra1n)开发的一款Java自动代码审计工具,尤其针对SpringBoot框架,也可自行改造以适配其他情况

提供一个SpringBoot的Jar包即可进行自动代码审计并生成报告,底层技术基于字节码分析

一款功能强大的Java自动代码审计工具

由于没有真正的执行,例如无法识别过滤等操作,所以会存在误报false positive

注意:漏洞检测并不是简单地检测某个方法内是否包含敏感方法,而是从每个Controller的每个Mapping的每一个用户可控参数开始分析与追踪,构建出方法调用链,分析这个参数在整个链路的过程

下载链接见文末


一款功能强大的Java自动代码审计工具

使用GUI启动器

选择好你的Jar包后点击Start即可,默认开启所有配置

注意:目标JarJava 8编译的情况下兼容性最佳,高版本Java可能优化指令导致与原规则不匹配产生漏报

选项:

  • import rt.jar 绝大多数情况请勿勾选

  • analyze all libs 绝大多数情况请勿勾选

  • debug mode 保存一些临时的分析结果到当前目录中

一款功能强大的Java自动代码审计工具


DoS

配置DoS模块:

  • for循环停止条件可控

  • 正则规则和输入同时可控

  • 数组初始化大小可控

  • ArrayList初始化大小可控

一款功能强大的Java自动代码审计工具


RCE

配置RCE模块:

  • Runtime.exec直接/拼接执行命令

  • ProcessBuilder直接/拼接执行命令

  • JNDI注入导致RCE(lookup内容可控)

  • GroovyShell.evaluate直接/拼接执行命令

  • Spring EL直接/拼接执行命令

一款功能强大的Java自动代码审计工具


SSRF

配置SSRF模块:

  • HttpUrlConnection请求

  • Apache HttpClient请求

  • Socket建立新连接

  • OKHttp请求

一款功能强大的Java自动代码审计工具


SQL Injection

配置SQL Injection模块:

  • JdbcTemplate.update存在字符串拼接

  • JdbcTemplate.execute存在字符串拼接

  • JdbcTemplate.queryAny存在字符串拼接

  • Statement.executeQuery存在字符串拼接

  • Statement.executeUpdate存在字符串拼接

  • Statement.execute存在字符串拼接

一款功能强大的Java自动代码审计工具


Open Redirect

配置Redirect模块:

  • 使用HttpServletResponse.sendRedirect重定向

  • 使用SpringMVC直接返回String可控

  • 使用SpringMVC返回ModelAndView可控

一款功能强大的Java自动代码审计工具


Deserialization

配置Deserialization模块:

  • Java原生反序列化

  • Fastjson反序列化

  • SnakeYAML反序列化

  • Jackson反序列化

  • Hessian2反序列化

  • XMLDecoder反序列化

一款功能强大的Java自动代码审计工具


使用API

可以使用以下的方式方便地进行扫描,注意三个boolean参数绝大多数情况应该设置为false

public static void testRCE() {
CodeInspector inspector = new CodeInspectorImpl();
List<ResultInfo> results = inspector.analyzeRCE(
"your/path/to/jar/file",
false, false, false);
System.out.println(results.size());
}

Graphviz

指定Controller类名和Mapping的方法名,以及分析的参数索引,即可画图

一款功能强大的Java自动代码审计工具

一款功能强大的Java自动代码审计工具

4 免责申明

未经授权许可攻击目标是非法的。本程序应仅用于授权的安全测试与研究目的。

软件来源互联网,版权归原作者所有,侵删本资源仅供个人学习交流、测试使用。
所有内容请在下载后24小时内删除,禁止非法恶意传播,不对任何下载或转载者造成的危害负任何法律责任



下载地址


点击在下方公众号回复 code-inspector 获取

一款功能强大的Java自动代码审计工具

一款功能强大的Java自动代码审计工具


注获取更多



长亭科技工具集下载站来自长亭科技旗下平台CT Stack提供了一个较为完备的安全工具下载站, 号称安全行业的APP Store, 你想要的都有, 扫描下方二维码即可进入

一款功能强大的Java自动代码审计工具




往期推荐

一款针对Java语言的静态代码分析工具

还没抢到票?免费抢票神器给你!

一款功能强大的全自动白帽漏洞扫描器

听声识键!只需要通过键盘敲击声就可以获取你的按键输入

元旦快乐! 安全X档案 2022年末文章汇总~ 团队召集成员

ONE-FOX单兵武器库贺岁版3.0今天他来啦~

漏扫工具Invicti-Professional(原Netsparker)最新破解版

linux实战清理挖矿病毒

【签名已更新】微信多开,还能防撤回,自动抢红包?这个工具太强了吧!-信息差消除计划-004

【安卓】微信多开,还能防撤回,自动抢红包?这个工具太强了吧!-信息差消除计划-005

同时欢迎各位加入交流群进行交流,群里会不定期的分享一些工具和教程,添加时请根据您的来意备注安全交流或软件资源交流

一款功能强大的Java自动代码审计工具

一款功能强大的Java自动代码审计工具

原文始发于微信公众号(安全X档案):一款功能强大的Java自动代码审计工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月11日16:54:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一款功能强大的Java自动代码审计工具http://cn-sec.com/archives/1512980.html

发表评论

匿名网友 填写信息