中国商业网点建设开发中心官方网站地区电商网站系统

中国商业网点建设开发中心官方网站,地区电商网站系统,苏州房地产网站建设,如何查询网站空间说明#xff1a;最近在系统学习这本书《Java代码审计 入门篇》由徐焱主编。内容来源于此书#xff0c;笔者做的笔记。有兴趣可以读一下这本书#xff0c;非常推荐的值得研究的一本书java代码审计的重要性不言而喻#xff0c;事前发现、预防#xff0c;做到未雨绸缪#x…说明最近在系统学习这本书《Java代码审计 入门篇》由徐焱主编。内容来源于此书笔者做的笔记。有兴趣可以读一下这本书非常推荐的值得研究的一本书java代码审计的重要性不言而喻事前发现、预防做到未雨绸缪我认为是安全左移重要的一环虽前期投入较多会大大减少被攻击的口子。安全的防御体现在方方面面代码安全、数据安全、隐私保护、业务安全、供应链安全等等第一章 初识1.意义提前部署相应安全防御措施可落实“安全左移”CNVD安全月报显示web应用漏洞占比仍大仍需重点关注2.渗透测试流程确定站点指纹—》通过旁站扫描备份或开源程序得到源代码—》代码审计—》利用审计出来的漏洞3.云原生的代表技术微服务和声明式 API云原生安全建设初期源代码审计将安全投资更多地放到开发安全安全编码、供应链软件库、开源软件安全、镜像仓库安全等可减少安全投资、增加攻击难度的效果代码安全审计在当下以至未来均可对Web应用安全的防护重要作用。4.能力动静结合动—具备调试程序的能力代码逻辑比较复杂通过多次调试或关键位置设置断点辅助理解静—具备编程基础了解基本语法与面向对象思想。阅读代码理解代码逻辑善于查阅文档和资料就能解决大多数问题5.常用思路1接口排查“正向追踪”找出从外部接口接收的参数并跟踪其传递过程观察是否有参数校验不严的变量传入高危方法中或者在传递的过程中是否有代码逻辑漏洞2危险方法溯源“逆向追踪”检查敏感方法的参数并查看参数的传递与处理判断变量是否可控且是否有严格过滤3功能点定向审计根据经验判断哪些功能点容易出现漏洞4第三方组件、中间件版本比对web应用所使用的第三方组件或中间件的版本是否受到已知漏洞的影响5补丁比对对补丁做对比反推漏洞出处6黑盒白盒测试“白盒少直觉黑盒难入微”以白盒为主在过程中辅以黑盒将快速定位到接口或做更全面的分析判断7代码静态扫描工具人工研判代码静态扫描工具代替人工漏洞挖掘可显著提高审计工作效率但误报率高需要人工研判8开发框架安全审计审计web应用所使用的开发框架是否存在自身安全性问题第二章 环境搭建1.jdk的下载与安装这里不介绍2.docker1简介轻量级的虚拟机。借助docker制作漏洞运行环境便于后续调试和保存漏洞特定环境。漏洞环境集合Vulhub基于docker和docker-compose来搭建的安全研究可直接使用docker生成一个带有特定漏洞的容器进行调试分析减少在环境配置上的消耗专注于研究漏洞本身2安装下载安装https://www.runoob.com/docker/docker-tutorial.htmlmacOS/Ubuntu/CentOS/Windows3配置过程这里是win10下载—》运行Docker Desktop Installer.exe—》next直至安装—》运行桌面Docker Desktop右键—》Settings---》网络因素限制配置国内镜像源---》结合实际分配合理的镜像存放地址、内存大小---》Docker Engine---》registry-mirrors的值设定为“https://hub-mirror.c.163.com/---》Apply Restart保存修改并重启4验证安装成功与否打开命令行终端---》docker run ubuntu echo“helloworld”---》回显helloworld即成功安装5docker基本使用方法docker镜像类比软件的模版、系统的快照使用命令行方式进行镜 像的搜索、拉取、查看等或者容器的开启与关闭等操作6镜像操作搜索镜像search命令 搜索指定名称和仓库的镜像如搜索tomcat的镜像docker search tomcat拉取镜像pull命令 拉取指定仓库和名称以及标签的镜像如获取获取dordoka/tomcat 的镜像docker pull dordoka/tomcat查看镜像images命令 读取已经拉取到本地的镜像文件。并列出镜像所存放仓库名、TAG标签、镜像编号、创建时间、镜像大小删除镜像rmi指令 删除已拉取到本地的镜像镜像运行态需先停止以这个镜像为模版生成的容器容器停止时可以-f强制删除镜像注意镜像被强制删除后原先的容器仍然可以继续使用比喻为镜像是修图软件的滤镜容器是已经使用此滤镜生成的图片滤镜删了这个使用了滤镜的图片还是存在的~7容器操作生成容器run指令 以指定的镜像为模版生成对应的容器并自动从仓库中拉取镜像到本地如生成一个dordoka/tomcat的容器docker run dordoka/tomcatrun指令接受多种参数-p 容器内部端口绑定到指定的主机端口-P 容器内部端口随机映射到主机的端口-t 提供终端输入-i 提供交互-d 容器在后台运行docker run -p 8080:8080 –d dordoka/tomcat启动一个Tomcat的容器希望可访问它的8080端口并在容器启动后在后台默默运行容器生成后可在浏览器访问本地的8080端口访问容器的Tomcat服务127.0.0.1:808/xx/xx第一个8080是本机的端口号第二个是容器中运行Tomcat服务的端口号生成容器以后立即获得容器的交互式终端来管理容器内部的配置docker run -it ubuntu 生成一个简易的Ubuntu系统容器会获得一个交互式终端可执行Linux的各类命令2退出容器 exit命令 注意终端用户名的变化3查看容器 ps命令 列出已生成且仍运行的容器并且会列出容器的编号、所使用的镜像、端口映射等信息还可添加参数筛选-a 列出仍在运行和已经退出的容器-q 仅列出容器的编号4停止容器 stop命令 将不需要运行的容器停止就如同将电脑关机一样状态Up变为Exiteddocker stop 2828停止容器、启动容器、进入容器和删除容器等操作不需要提供完整的容器编号只需填写编号的部分内容docker会自动匹配到相应容器5启动容器 start命令docker start 286进入容器 exec命令有时需要进入容器内部安装软件或修改配置docker exec –it 6e /bin/bash 进入编号缩写为6e的容器内部7删除容器 rm命令删除之前需要停止正在运行的容器停止否则无法删除docker rm 6e s删除编号为6e的容器8复制文件进出容器 cp命令docker cp ./flag.txt 28:/var 将物理机的flag.txt文件复制到编号缩写为28的容器中var目录下docker cp 28:/var/flag2.txt C:\Users\test 将容器的falg2.txt复制到物理机桌面的test文件夹中3.使用Vulhub 快速搭建漏洞验证环境基于docker-compose技术的一款漏洞集成环境docker-compose简介compose是用于定义和运行多容器docker应用程序的工具方便地创建比较复杂的容器启动漏洞环境进入相应的漏洞文件夹—》docker-compose up –d---》通过浏览器访问漏洞环境4.远程调试1对jar包远程调试使用IDEAjava –jar -agentlib:jdwptransportdt_socket,servery,suspendn,address5005 xxx.jar作为启 动参数运行Jar 包5.项目构建工具1maven项目构建工具可以对Java项目进行构建和管理pom.xml文件用于管理源代码、配置文件、开发者 的信息和角色、问题追踪系统、组织信息、项目授权、项目的url、项目的依赖关系 等2Swagger开源软件框架帮助开发人员设计、构建、记录和使用Restful Web应用它将代码和文档融为一体通过http://Path/swagger-ui.html 可为前端展示相关的API文档并像使用postman以及Curl命令一样通过web界面进行接口测试第三章 代码审计辅助工具简介1.代码编辑器1Sublime轻量级、功能强大的代码及文本编辑器允许用户以插件的形式扩展功能2IDEA自带反编译、动态调试、代码搜索等2.测试工具1Burp Suite2SwitchyOmega代理管理插件3Max HackerBar插件4postman网页调试工具能够为用户提供强大的 Web APIHTTP请求调试功能。postman能够发送任何类型的HTTP请求方便测试人员观察响应的内容5postwoman便捷的API接口调试工具用于替代postman且免费开源、轻量级、快速美观的API调试工具支持主流的restful接口调试外还支持GraphQL 和webSocket6Tamper Data是Firefox浏览器的一款web安全测试插件。功能查看修改HTTP/HTTPS的请求头和请求参数跟踪HTTP请求/响应并记时对web站点进行安全测试查阅资料这款插件已经多年了目前不怎么使用7Marshalsec开源的java反序列化测试工具生成各类反序列化利用链还可以快速启动恶意的RMI服务等8MySQL监视工具监视所执行的SQL记录a.MySQL日志查询工具基于MySQL的日志查询、跟踪、分析工具。b.MySQL monitor是web版本的SQL记录实时监控工具9Beyond Compare文件比较工具代码审计人员快速比对两个版本代码的差别3.反编译工具需要审计的程序通常是一个.class文件或jar包。需要对程序进行反编译以便于在代码审计时快速搜索关键字1JD-GUI具有UI界面的反编译工具界面简洁大方2FernFlower比JD-GUI更强大没有UI界面java –jar fernflower.jar tomcat-jni.jar Test/3CFR4IDEA4.java代码静态扫描工具发现隐藏的漏洞辅助1Fortify SCA –收费2VCGVisualCodeGrepper ---支持多语言3FindBugs与FindSecBugs插件FindBugs 是Bug扫描插件在IDEA可安装不具备发现安全漏洞的能力FindSecBugs 拓展发现安全漏洞的能力4SpotBugs是FindBugs的继任者二者用法一样其他工具收费的CheckMark、开源的Cobra等。或多或少存在误报、漏报5.公开漏洞查找平台1CVECommon Vulnerabilities Exposures通用漏披露会列出已公开披露的各种计算机安全漏洞2CVSS通用漏洞评分系统3NVD 美国国家通用漏洞数据库同CVE一样会收录漏洞信息4CNVDChina National Vulnerability Database中国国家信息安全漏洞共享平台5CNNVDChina National Vulnerability Database of Information Security中国国家信息安全漏洞库