===================================
0x01 工具介绍
一个Java自动代码审计工具,尤其针对SpringBoot框架,也可自行改造以适配其他情况,提供一个SpringBoot的Jar包即可进行自动代码审计并生成报告,底层技术基于字节码分析,由于没有真正的执行,例如无法识别过滤等操作,所以会存在误报false positive。
0x02 安装与使用
选择好你的Jar包后点击Start即可,默认开启所有配置
注意:目标Jar是Java 8编译的情况下兼容性最佳,高版本Java可能优化指令导致与原规则不匹配产生漏报
选项:
importrt.jar 绝大多数情况请勿勾选analyzeall libs 绝大多数情况请勿勾选debugmode 保存一些临时的分析结果到当前目录中
for循环停止条件可控正则规则和输入同时可控数组初始化大小可控ArrayList初始化大小可控
3、配置RCE模块:
Runtime.exec直接/拼接执行命令ProcessBuilder直接/拼接执行命令JNDI注入导致RCE(lookup内容可控)GroovyShell.evaluate直接/拼接执行命令SpringEL直接/拼接执行命令
0x03 项目链接下载
原文始发于微信公众号(网络安全者):JavaWeb漏洞审计工具
特别标注:
本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论