Java代码审计实战:从环境搭建到漏洞挖掘

发布时间:2026/7/18 3:37:14
Java代码审计实战:从环境搭建到漏洞挖掘 1. Java代码审计入门指南刚接触Java代码审计时我花了整整三个月才搞明白审计报告里那些专业术语到底在说什么。现在回头看如果能系统性地掌握几个关键点这个学习过程至少能缩短一半时间。Java代码审计本质上是通过分析源代码或字节码识别潜在安全风险的过程这不同于黑盒测试我们需要深入理解代码逻辑和框架特性。2. 审计环境搭建2.1 工具链选择我习惯用IntelliJ IDEA作为主IDE配合以下工具链JD-GUI或JADX用于反编译.class文件Bytecode Viewer字节码分析利器Find Security Bugs插件基础的静态扫描OWASP Dependency Check组件依赖检查特别注意永远不要在审计用的机器上安装生产环境数据库我曾见过有人不小心把测试用的恶意payload同步到了线上库。2.2 调试环境配置调试是理解漏洞原理的关键。我的标准配置# 启用远程调试 java -agentlib:jdwptransportdt_socket,servery,suspendn,address5005 -jar app.jar # IDEA配置对应端口 Remote JVM Debug - 5005遇到混淆代码时可以尝试用CFR反编译器它对混淆代码的还原效果最好。记得在调试前先解决所有编译警告那些unchecked cast警告往往藏着类型安全问题。3. 核心审计要点3.1 注入类漏洞审计3.1.1 SQL注入不要只盯着PreparedStatement要注意这些特殊情况// 仍然存在注入风险的写法 String query SELECT * FROM users WHERE id Integer.parseInt(input); // 当input为1 OR 11时parseInt抛异常但可能被全局异常处理吞掉 // MyBatis中的${}使用 Select(SELECT * FROM #{table} WHERE name ${name}) // ${}直接拼接3.1.2 表达式注入Spring环境下重点检查Value注解中的EL表达式SpEL表达式解析器Thymeleaf模板中的表达式3.2 反序列化漏洞审计3.2.1 危险API识别重点关注以下调用链ObjectInputStream.readObject() XMLDecoder.readObject() Yaml.load() JSON.parseObject()3.2.2 防御方案审计检查是否配置了有效的反序列化过滤器ObjectInputFilter filter info - { if(info.serialClass() ! null info.serialClass().getName().startsWith(org.apache.commons.collections)) { return ObjectInputFilter.Status.REJECTED; } return ObjectInputFilter.Status.UNDECIDED; }; ObjectInputStream ois new ObjectInputStream(fis); ois.setObjectInputFilter(filter);4. 框架专项审计4.1 Spring Security配置审计常见配置缺陷Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers(/admin/**).hasRole(ADMIN) .anyRequest().permitAll() // 危险未认证路径过多 .and() .csrf().disable(); // 常见错误 }4.2 Shiro权限绕过检查控制器注解与Shiro配置的一致性RequiresPermissions(user:delete) GetMapping(/deleteUser) public void deleteUser(Long id) {...} // shiro配置中必须有对应权限节点 filterChainDefinitionMap.put(/deleteUser, perms[user:delete]);5. 自动化审计实践5.1 静态分析工具链我的自动化审计流程使用Semgrep扫描基础模式用CodeQL编写定制化查询对结果进行人工验证示例CodeQL查询from MethodAccess ma, Method m where m.getDeclaringType().hasQualifiedName(java.io, ObjectInputStream) and m.getName() readObject and ma.getMethod() m select ma, Potential deserialization vulnerability5.2 动态插桩技术结合Jacoco实现代码覆盖分析plugin groupIdorg.jacoco/groupId artifactIdjacoco-maven-plugin/artifactId executions execution goals goalprepare-agent/goal /goals /execution /executions /plugin6. 企业级审计策略6.1 组件安全矩阵维护公司内部的三方件安全清单组件名安全版本风险类型替代方案fastjson1.2.83反序列化Jacksonlog4j2.17.1RCELogbackshiro1.9.0权限绕过Spring Security6.2 审计报告编写要点合格的报告应包含漏洞定位类行号完整调用栈风险等级评估CVSS评分完整复现步骤修复方案含代码diff7. 实战经验分享去年审计某金融系统时发现一个典型案例// 原始漏洞代码 public String exportExcel(HttpServletRequest request) { String template request.getParameter(template); File file new File(/templates/ template); // 未校验文件名导致目录穿越 }修复方案// 修复后代码 public String exportExcel(RequestParam String template) { if(!template.matches([a-zA-Z0-9_]\.xlsx)) { throw new IllegalArgumentException(); } Path path Paths.get(/templates/).resolve(template).normalize(); if(!path.startsWith(/templates/)) { throw new AccessDeniedException(); } }这个案例教会我参数校验要同时做正向白名单和路径标准化检查。审计过程中要多关注那些直接使用用户输入构造文件路径、SQL语句、系统命令的代码位置。