一、写在前面
刚刚入职,适应了几天后抓紧开始学习,毕竟学无止境且自己太菜了……
面试的时候,负责人问了我一些关于Java代审的问题,不过之前接触的更多是php的代审。熟悉代审的小伙伴们大概都清楚,两者就不是一个难度等级……而且网上目前好像也没有一个比较系统的java代审学习路线和视频,在这里就慢慢摸索吧,学一点就记录一点,也希望哪一位大佬看到后,可以call我一下,哪怕点一点学习路线也好,实在是头绪不太够哈哈~
WebGoat是OWASP开源的一个Java且使用的Spring框架的开源靶场,就从这里开始吧。统一说一下环境搭建(这里走了不少弯路,java的脾气大家都知道,一点不合就撂摊子……):
安装好后IDEA直接启动进入靶场,后面就不说这里了,主要还是代码漏洞的审计~
二、Xss代审(按题目顺序)
1.之前的就不看了,都是一些说明,直接从7开始
这里给了一个类似于购物车的表单提交功能,他这里放在了XSS漏洞下,那我们就从这里找XSS
这里可以看到,Quantity数量只在前端页面是无法修改的(抓包还没有尝试,这里暂定一下,回头补上,顺便提一下,这里的数量可以填写负数,很有可能会存在支付逻辑漏洞,也是回头再验证吧),那就考虑在下方的card number和access code处考虑插入XSS脚本。
开发团队也是很有意思了,我现在明明就是在攻击你啊……所以这样的利用方式估计是那里被过滤了(事后证明,确实是access code输入框存在着过滤),那就分开试~
可以看到,大概漏洞点在card number位置上,下面上代码寻找问题~
这里F12检查按钮,发现页面把表单提交给了/WebGoat/CrossSiteScripting/attack5a文件,在文件里找了下,确定了该功能的执行类,贴在下面~
1 package org.owasp.webgoat.plugin;
2
3 import org.owasp.webgoat.assignments.AssignmentEndpoint;
4 import org.owasp.webgoat.assignments.AssignmentHints;
5 import org.owasp.webgoat.assignments.AssignmentPath;
6 import org.owasp.webgoat.assignments.AttackResult;
7 import org.owasp.webgoat.session.UserSessionData;
8 import org.springframework.beans.factory.annotation.Autowired;
9 import org.springframework.web.bind.annotation.RequestMapping;
10 import org.springframework.web.bind.annotation.RequestMethod;
11 import org.springframework.web.bind.annotation.RequestParam;
12 import org.springframework.web.bind.annotation.ResponseBody;
13
14 import javax.servlet.http.HttpServletRequest;
15 import java.io.IOException;
16
17
18
19 /***************************************************************************************************
20 *
21 *
22 * This file is part of WebGoat, an Open Web Application Security Project utility. For details,
23 * please see http://www.owasp.org/
24 *
25 * Copyright (c) 2002 - 20014 Bruce Mayhew
26 *
27 * This program is free software; you can redistribute it and/or modify it under the terms of the
28 * GNU General Public License as published by the Free Software Foundation; either version 2 of the
29 * License, or (at your option) any later version.
30 *
31 * This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without
32 * even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU
33 * General Public License for more details.
34 *
35 * You should have received a copy of the GNU General Public License along with this program; if
36 * not, write to the Free Software Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA
37 * 02111-1307, USA.
38 *
39 * Getting Source ==============
40 *
41 * Source for this application is maintained at https://github.com/WebGoat/WebGoat, a repository for free software
42 * projects.
43 *
44 * For details, please see http://webgoat.github.io
45 *
46 * @author Bruce Mayhew <a href="http://code.google.com/p/webgoat">WebGoat</a>
47 * @created October 28, 2003
48 */
49 @AssignmentPath("/CrossSiteScripting/attack5a")
50 @AssignmentHints(value = {"xss-reflected-5a-hint-1", "xss-reflected-5a-hint-2", "xss-reflected-5a-hint-3", "xss-reflected-5a-hint-4"})
51 public class CrossSiteScriptingLesson5a extends AssignmentEndpoint {
52
53 @Autowired
54 UserSessionData userSessionData;
55
56 @RequestMapping(method = RequestMethod.GET)
57 public @ResponseBody AttackResult completed(@RequestParam Integer QTY1,
58 @RequestParam Integer QTY2, @RequestParam Integer QTY3,
59 @RequestParam Integer QTY4, @RequestParam String field1,
60 @RequestParam String field2, HttpServletRequest request)
61 throws IOException {
62
63 if (field2.toLowerCase().matches("<script>.*(console\\.log\\(.*\\)|alert\\(.*\\))<\\/script>")) {
64 return trackProgress(failed().feedback("xss-reflected-5a-failed-wrong-field").build());
65 }
66
67 double totalSale = QTY1.intValue() * 69.99 + QTY2.intValue() * 27.99 + QTY3.intValue() * 1599.99 + QTY4.intValue() * 299.99;
68
69 userSessionData.setValue("xss-reflected1-complete",(Object)"false");
70 StringBuffer cart = new StringBuffer();
71 cart.append("Thank you for shopping at WebGoat. <br />You're support is appreciated<hr />");
72 cart.append("<p>We have charged credit card:" + field1 + "<br />");
73 cart.append( " ------------------- <br />");
74 cart.append( " $" + totalSale);
75
76 //init state
77 if (userSessionData.getValue("xss-reflected1-complete") == null) {
78 userSessionData.setValue("xss-reflected1-complete",(Object)"false");
79 }
80
81 if (field1.toLowerCase().matches("<script>.*(console\\.log\\(.*\\)|alert\\(.*\\))<\\/script>")) {
82 //return trackProgress()
83 userSessionData.setValue("xss-reflected-5a-complete","true");
84 if(field1.toLowerCase().contains("console.log")) {
85 return trackProgress(success().feedback("xss-reflected-5a-success-console").output(cart.toString()).build());
86 } else {
87 return trackProgress(success().feedback("xss-reflected-5a-success-alert").output(cart.toString()).build());
88 }
89 } else {
90 userSessionData.setValue("xss-reflected1-complete","false");
91 return trackProgress(success()
92 .feedback("xss-reflected-5a-failure")
93 .output(cart.toString())
94 .build());
95 }
96 }
97 }第63行可以看到,确实使field2的参数经过了一个小写转换+匹配,也就能证明之前两个输入框输入的命令不正确了~
第72行可以看到,field1也就是card number参数,直接放到了执行语句中,没有经过过滤,这也是7等级主要想表现出的漏洞问题~
修复一下,在上图处添加html转义,查看结果,可以看到的确没有执行脚本。第7级完结~
2.Level-10、11
先看level10
这里介绍了一堆,主要还是想要说明一种dom的利用方式——test路由中,经过以上的函数调用,最终可以把参数不加过滤的显示在页面上,这也是level11解题的前提
level11这里给出了答案生成的函数,直接把该函数放到url里看一下~
这里可以看到,test确实是把参数原封不动的显示在了页面上,这就考虑写成脚本运行试一下~
页面不回显了,推测在控制台里已经有结果了,打开一看确实出现了题目需要的随机数~
下面看一下代码
这里代码确实没什么好看的,无非就是判断随机数相等然后反馈一个相应的结果,毕竟主要问题出现在dom上,与服务器关系不大,简单修复一下~
找到最后执行该脚本的LessonContentView.js文件,加入一句js的html转义,过滤掉所有的html标签,可以看到漏洞不见了,level11完结~
三、XSS(stored)代审
1.level_3
这里给的信息还是很充足的,就是简单的在评论区插入XSS脚本,运行webgoat.customjs.phoneHome()函数,获取前面写过的那种随机数完成问题。下面就很简单了~
下面上代码+简单修复一下~
找到页面加载的js文件(stored-xss.js),可以看到里面comment在添加时,确实没有过滤评论的漏洞点(而且这里三处地方都没有添加,尽管前两处是默认的,只要是修改了默认传入的'USER'、'DATETIME',照样可以XSS,这里就只简单的修复一下comment,其他的思路一样就不赘述了),添加过滤,即可看到确实没有再引起XSS~
三、修复(靶场题目)XSS
1.level_5
<%@ taglib uri="https://www.owasp.org/index.php/OWASP_Java_Encoder_Project" %>
<html>
<head>
<title>Using GET and POST Method to Read Form Data</title>
</head>
<body>
<h1>Using POST Method to Read Form Data</h1>
<table>
<tbody>
<tr>
<td><b>First Name:</b></td>
<td>${e:forHtml(param.first_name)}</td>
</tr>
<tr>
<td><b>Last Name:</b></td>
<td>${e:forHtml(param.last_name)}</td>
</tr>
</tbody>
</table>
</body>
</html>
这里官网推荐的修复方式,是引入一个OWASP的url特征库,然后对传入且需要显示的参数进行匹配过滤。这里做题的时候没有思路,是回过头看后端代码才知道这个思路的,就像是考试前给了你考试答案一样,这种感觉挺棒哈哈~
2.level_6
各位大佬,这里就当个乐子看吧,我也不确定这玩意儿能运行起来,只能说是一个修复思路(导入官方的xml文件,然后依据此文件在评论处添加过滤)~
XSS完结撒花,转战下一个战场~
如何在buildr项目中使用Ruby?我在很多不同的项目中使用过Ruby、JRuby、Java和Clojure。我目前正在使用我的标准Ruby开发一个模拟应用程序,我想尝试使用Clojure后端(我确实喜欢功能代码)以及JRubygui和测试套件。我还可以看到在未来的不同项目中使用Scala作为后端。我想我要为我的项目尝试一下buildr(http://buildr.apache.org/),但我注意到buildr似乎没有设置为在项目中使用JRuby代码本身!这看起来有点傻,因为该工具旨在统一通用的JVM语言并且是在ruby中构建的。除了将输出的jar包含在一个独特的、仅限ruby
在rails源中:https://github.com/rails/rails/blob/master/activesupport/lib/active_support/lazy_load_hooks.rb可以看到以下内容@load_hooks=Hash.new{|h,k|h[k]=[]}在IRB中,它只是初始化一个空哈希。和做有什么区别@load_hooks=Hash.new 最佳答案 查看rubydocumentationforHashnew→new_hashclicktotogglesourcenew(obj)→new_has
我真的很习惯使用Ruby编写以下代码:my_hash={}my_hash['test']=1Java中对应的数据结构是什么? 最佳答案 HashMapmap=newHashMap();map.put("test",1);我假设? 关于java-等价于Java中的RubyHash,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/22737685/
我的主要目标是能够完全理解我正在使用的库/gem。我尝试在Github上从头到尾阅读源代码,但这真的很难。我认为更有趣、更温和的踏脚石就是在使用时阅读每个库/gem方法的源代码。例如,我想知道RubyonRails中的redirect_to方法是如何工作的:如何查找redirect_to方法的源代码?我知道在pry中我可以执行类似show-methodmethod的操作,但我如何才能对Rails框架中的方法执行此操作?您对我如何更好地理解Gem及其API有什么建议吗?仅仅阅读源代码似乎真的很难,尤其是对于框架。谢谢! 最佳答案 Ru
我的假设是moduleAmoduleBendend和moduleA::Bend是一样的。我能够从thisblog找到解决方案,thisSOthread和andthisSOthread.为什么以及什么时候应该更喜欢紧凑语法A::B而不是另一个,因为它显然有一个缺点?我有一种直觉,它可能与性能有关,因为在更多命名空间中查找常量需要更多计算。但是我无法通过对普通类进行基准测试来验证这一点。 最佳答案 这两种写作方法经常被混淆。首先要说的是,据我所知,没有可衡量的性能差异。(在下面的书面示例中不断查找)最明显的区别,可能也是最著名的,是你的
几个月前,我读了一篇关于rubygem的博客文章,它可以通过阅读代码本身来确定编程语言。对于我的生活,我不记得博客或gem的名称。谷歌搜索“ruby编程语言猜测”及其变体也无济于事。有人碰巧知道相关gem的名称吗? 最佳答案 是这个吗:http://github.com/chrislo/sourceclassifier/tree/master 关于ruby-寻找通过阅读代码确定编程语言的rubygem?,我们在StackOverflow上找到一个类似的问题:
我正在尝试使用boilerpipe来自JRuby。我看过guide从JRuby调用Java,并成功地将它与另一个Java包一起使用,但无法弄清楚为什么同样的东西不能用于boilerpipe。我正在尝试基本上从JRuby中执行与此Java等效的操作:URLurl=newURL("http://www.example.com/some-location/index.html");Stringtext=ArticleExtractor.INSTANCE.getText(url);在JRuby中试过这个:require'java'url=java.net.URL.new("http://www
我目前正在使用以下方法获取页面的源代码:Net::HTTP.get(URI.parse(page.url))我还想获取HTTP状态,而无需发出第二个请求。有没有办法用另一种方法做到这一点?我一直在查看文档,但似乎找不到我要找的东西。 最佳答案 在我看来,除非您需要一些真正的低级访问或控制,否则最好使用Ruby的内置Open::URI模块:require'open-uri'io=open('http://www.example.org/')#=>#body=io.read[0,50]#=>"["200","OK"]io.base_ur
我只想对我一直在思考的这个问题有其他意见,例如我有classuser_controller和classuserclassUserattr_accessor:name,:usernameendclassUserController//dosomethingaboutanythingaboutusersend问题是我的User类中是否应该有逻辑user=User.newuser.do_something(user1)oritshouldbeuser_controller=UserController.newuser_controller.do_something(user1,user2)我
什么是ruby的rack或python的Java的wsgi?还有一个路由库。 最佳答案 来自Python标准PEP333:Bycontrast,althoughJavahasjustasmanywebapplicationframeworksavailable,Java's"servlet"APImakesitpossibleforapplicationswrittenwithanyJavawebapplicationframeworktoruninanywebserverthatsupportstheservletAPI.ht