===================================
0x01 工具介绍
一个Java自动代码审计工具,尤其针对SpringBoot框架,也可自行改造以适配其他情况,提供一个SpringBoot的Jar包即可进行自动代码审计并生成报告,底层技术基于字节码分析,由于没有真正的执行,例如无法识别过滤等操作,所以会存在误报false positive。
0x02 安装与使用
选择好你的Jar包后点击Start即可,默认开启所有配置
注意:目标Jar是Java 8编译的情况下兼容性最佳,高版本Java可能优化指令导致与原规则不匹配产生漏报
选项:
importrt.jar 绝大多数情况请勿勾选analyzeall libs 绝大多数情况请勿勾选debugmode 保存一些临时的分析结果到当前目录中
for循环停止条件可控正则规则和输入同时可控数组初始化大小可控ArrayList初始化大小可控
3、配置RCE模块:
Runtime.exec直接/拼接执行命令ProcessBuilder直接/拼接执行命令JNDI注入导致RCE(lookup内容可控)GroovyShell.evaluate直接/拼接执行命令SpringEL直接/拼接执行命令
0x03 项目链接下载
原文始发于微信公众号(网络安全者):JavaWeb漏洞审计工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论