Java Web安全代码审计全面指南

一、JavaWeb安全基础

1. 代码审计概述

Java代码审计是通过审计Java代码来发现应用程序中存在的安全问题。审计对象包括：

• 未编译的Java源代码文件(.java)
• 已编译的class文件或jar文件(需反编译)

审计难度取决于系统复杂度：

• 简单系统：掌握审计流程和常见漏洞技巧即可
• 复杂系统：需要扎实的Java基础、审计经验和架构理解

2. 环境与工具准备

推荐工具列表：

1. 开发环境：Jetbrains IDEA(推荐)、Eclipse、NetBeans
2. 文本编辑器：Sublime text
3. 反编译工具：
   • JD-GUI
   • Fernflower(IDEA插件)
   • Bytecode-Viewer
   • JBE(字节码查看)
   • JDK自带javap命令

二、反编译技巧

1. Java编译与反编译基础

• 源码：可读的.java文件
• 字节码：编译后的.class二进制文件，需反编译阅读

反编译工具对比：

• JD-GUI：使用广泛但能力有限
• IDEA(改版Fernflower)：反编译能力最强，推荐首选
• JBE：直接读取字节码
• javap：JDK自带，最后手段

2. 完整Jar包反编译方法

1. Fernflower：

   java -jar fernflower.jar jarToDecompile.jar decomp/
   

2. JD-GUI：

   • GUI操作：File → Save All Sources

3. IDEA：

   • 直接拖入支持反编译
   • 支持类名(⇧⇧⌘⌘F)、方法名(⇧⇧⌘⌘O)搜索

4. Bytecode-Viewer：

   • Fernflower的GUI版本，直接拖拽jar反编译

5. Find命令组合：

   find ./ -type f -name "*.class" |xargs grep "关键词"
   

3. IDEA高级搜索技巧

1. 自定义范围搜索：

   • 使用⇧⇧⌘⌘F打开搜索
   • 点击"..."设置自定义搜索范围

2. 标记搜索：

   • ⌘⌘O搜索类名/方法名
   • 支持class/jar文件中的方法搜索

3. 调用链搜索：

   • 右键类/方法 → Find Useages(⌥⌥F7)
   • 追踪方法调用链和触发点

三、Java Web基础架构

1. 分层架构

常见分层：

1. 视图层(View)
2. 控制层(Controller/Action)
3. 服务层(Service)
4. 业务逻辑层(BO)
5. 实体层(entity/VO/bean)
6. 持久层(dao/PO)

2. 模块化开发

现代项目多采用模块化开发：

• 依赖管理：Maven/Gradle
• 动态模块：OSGi(支持热部署)
• 审计难点：需在多个依赖库中寻找审计目标

3. 核心组件

Servlet

• Java Web容器上运行的小程序
• 处理复杂服务器端业务逻辑
• 配置方式：
  • Servlet 3.0+：注解(@WebServlet)
  • 旧版本：web.xml中<servlet>和<servlet-mapping>
• 实现：继承HttpServlet，重写doXXX或service方法

Filter

• 过滤器，用于URL请求过滤
• 功能：权限验证、登录检测等
• 实现：实现Filter接口，重写init/doFilter/destroy
• 配置类似Servlet

JSP

• 本质是特殊的Servlet
• 编译后生成_jsp.java和_jsp.class
• 继承HttpJspBase(实现HttpJspPage接口)

4. MVC框架

Spring MVC

• 主流框架，基于Servlet实现
• 注解配置(推荐)：

  @Controller
  @RequestMapping("/path")
  public class MyController {
      @GetMapping("/method")
      public String method() {...}
  }
  

• XML配置(旧项目)：

  <bean name="/test.do" class="com.example.TestController"/>
  

Struts2

• 基于Filter实现
• 主要配置方式：struts.xml
• 也可用struts2-convention-plugin实现注解配置
• 参数通过get/set方法传入

5. 快速定位控制器

查找Spring MVC控制器：

find ~/project/ -type f -name "*.class" |xargs grep -E "Controller|@RestController"

查找请求映射：

find ~/project/ -type f -name "*.class" |xargs grep -E "RequestMapping|GetMapping|PostMapping"

四、Java动态特性与安全

1. Java动态技术概览

1. 反射机制
2. MethodHandle(JDK7+)
3. JDK动态代理
4. JVM动态语言(Groovy等)
5. 表达式库(OGNL/MVEL/SpEL/EL)
6. JSP/JSPX
7. 字节码库(ASM/Javassist等)
8. ScriptEngineManager
9. 动态编译(JDT/JavaCompiler)
10. ClassLoader
11. 模板引擎(Freemarker/Velocity)
12. 序列化/反序列化
13. JNI/JNA
14. OSGi
15. RMI
16. WebService
17. JDWP
18. JMX

2. 反射机制

• 无视访问修饰符(private/protected)
• 可调用任何类的方法/访问修改字段
• 关键方法：
  • Class.forName()/getClass()
  • getMethod()/getDeclaredMethod()
  • getField()/getDeclaredField()
  • setAccessible(true)突破private限制

反射执行命令示例：

Runtime.class.getMethod("exec", String.class)
    .invoke(Runtime.class.getMethod("getRuntime").invoke(null), "cmd");

3. MethodHandle(JDK7+)

• 类似反射但效率更高
• 限制：JDK≥1.7，不能访问private成员

示例：

MethodHandles.Lookup lookup = MethodHandles.lookup();
MethodHandle getRuntime = lookup.findStatic(Runtime.class, "getRuntime", MethodType.methodType(Runtime.class));
MethodHandle exec = lookup.findVirtual(Runtime.class, "exec", MethodType.methodType(Process.class, String.class));
exec.invoke(getRuntime.invoke(), "cmd");

五、代码审计Checklist

1. 业务层安全问题

1. 认证相关：

   • 密码未加密存储/传输
   • 验证码缺失或可爆破
   • 密码找回逻辑缺陷
   • 验证码无次数/有效期限制

2. 业务逻辑：

   • 支付金额未校验
   • ORM框架不当使用导致越权
   • 敏感操作缺少CSRF防护
   • 过度信任前端输入

3. 其他：

   • ID可预测导致越权
   • 条件竞争问题
   • 接口无频率限制
   • 敏感信息泄露(Cookie存储密码等)
   • 弱加密算法/密钥

2. 代码实现安全问题

文件操作漏洞

1. 空字节截断(%00)

   • 影响版本：JDK < 1.7.40
   • 修复：升级JDK或检测\u0000
   • 利用场景：文件上传后缀校验绕过

2. 任意文件读写

   • 关键类：
     • FileInputStream/RandomAccessFile
     • FileUtils(Commons IO)
     • NIO相关(Files/AsynchronousFileChannel)
   • 审计重点：未校验文件路径参数

Web Service安全

• 实现技术：JWS、Axis、CXF等
• 配置检查：server-config.wsdd
• 安全风险：未授权访问、敏感接口暴露

其他高危漏洞

1. SQL注入
2. XXE(XML实体注入)
3. 表达式注入(SpEL/OGNL等)
4. 命令执行(ProcessBuilder)
5. 反序列化漏洞
6. SSRF
7. 反射攻击

六、典型漏洞案例

1. 空字节截断示例

漏洞代码：

String fileName = "/tmp/test.txt\u0000.jpg";
FileOutputStream fos = new FileOutputStream(new File(fileName));

修复方案：

1. 升级JDK ≥ 1.7.40
2. 手动检测：

   if(fileName.indexOf('\u0000') != -1) {
       throw new IllegalArgumentException("Invalid filename");
   }
   

2. 任意文件读取示例

漏洞JSP：

<%@ page import="java.io.*" %>
<%
File file = new File(request.getParameter("path"));
FileInputStream fis = new FileInputStream(file);
// 读取文件内容并输出...
%>

修复方案：

1. 校验文件路径合法性
2. 限制目录访问
3. 使用ServletContext.getResourceAsStream替代

3. Web Service示例(Axis1.4)

server-config.wsdd配置：

<service name="FileService" provider="java:RPC">
    <parameter name="className" value="com.example.FileService"/>
    <parameter name="allowedMethods" value="*"/>
</service>

安全建议：

1. 限制allowedMethods
2. 添加认证(WSS4J)
3. 敏感接口不应暴露

七、审计方法论

1. 审计流程

1. 环境搭建：配置完整运行环境
2. 代码获取：源码或反编译class
3. 架构分析：理解系统分层和模块
4. 入口定位：找出所有HTTP入口点
5. 敏感功能审计：文件操作、命令执行等
6. 数据流追踪：从输入到敏感操作的全路径
7. 验证测试：构造POC验证漏洞

2. 重点关注

1. 用户输入处理：

   • 未过滤的request参数
   • 直接拼接的SQL/命令/文件路径
   • 反序列化操作

2. 安全控制：

   • 认证/授权缺失
   • 权限校验绕过
   • 敏感信息保护

3. 框架特性：

   • 表达式解析(如SpEL)
   • 反射调用
   • 动态加载

3. 工具辅助

1. 静态分析：

   • Find Security Bugs
   • Fortify
   • Checkmarx

2. 动态分析：

   • Burp Suite
   • OWASP ZAP
   • 自定义代理工具

3. 代码搜索：

   • 正则搜索高危函数
   • 特定模式匹配(如Runtime.getRuntime())

通过系统化的审计方法和工具辅助，可以有效发现Java Web应用中的安全漏洞，提升应用安全性。