注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

那些星星点点的微芒,终会成为燃烧生命的熊熊之光

 
 
 
 
 

日志

 
 

一次未遂的代码审计之SQL注入  

2016-08-20 18:42:54|  分类: 安全一路走来 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
挺久没码文章了,刚好最近接了一些代码审计的工作,那就抖一下身上的菜叶子来码一篇吧,还是要沉淀一些东西呀。

这次代码审计 [静态] 因为是未遂的,所以只提供如何从代码审计的角度去定位到具体的web接口路径,只提供思路,没别的。
————————————————
匹配到mybatis配置中有拼接情况
一次未遂的代码审计之SQL注入 - vfeng - 水水
 
全局检索得到
一次未遂的代码审计之SQL注入 - vfeng - 水水
 
往前跟,得到
一次未遂的代码审计之SQL注入 - vfeng - 水水
 
定位到调用
一次未遂的代码审计之SQL注入 - vfeng - 水水
 
继续循环检索
一次未遂的代码审计之SQL注入 - vfeng - 水水

上图看出已到web层了,此时即可拼出URL: xxx.com/transfer (POST的情况就不说了,对着找一下拼就OK)
sysno在上图中可看出是做了强制整形转换的,也就不存在问题了。但是!
这只是一种情况!不能保证sysno在别的接口调用时都做了强制转换。所以还要重新检索一下sysno在别处的调用。

最后,理一理步骤:
正确的姿势应该层次分明,而且不可大意,一不留神漏洞手中过,多尴尬...
JAVA 按照我的这次,靠谱的流程是):
  1. 配置文件层 —> DAO层 —> Manager层 —> Service 层 —> Web层;
  2. 就是例子中sysno的情况,需全局检索相关调用情况;
  3. 配置文件层 —> 跟踪到DAO层配置再次检索与之相关的调用。

还是要慎重,不可因为某一个层有防护上的处理就粗心放弃,其他层或接口有问题了呢?!

一直在强调要慎重严谨,代码审计本来就要安静细心地寻觅逻辑世界的真实。可见我之前是吃了多少亏...

  评论这张
 
阅读(74)| 评论(0)
推荐

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017