java代码审计学习笔记
2022/1/20 22:41:29
本文主要是介绍java代码审计学习笔记,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
一、代码审计常用思路
1、接口排查("正向追踪")
2、危险方法溯源("逆向追踪")
3、功能点审计
4、第三方组件、中间件版本对比
5、补丁对比
6、黑盒+白盒
7、静态扫描工具
8、开发框架安全审计
二、远程调试
1、对jar包进行远程调试
使用IntelliJ IDEA创建一个Java项目,并创建一个lib文件夹将Jar包放入。点击lib文件夹后,右键选择"Add as LIbirary",将lib文件夹添加进项目依赖。成功添加后可以看到Jar包中反编译后的源代码。
通过右上角的"Add Configurations",并单击"+"添加一个"Remote"。
然后配置如下参数:
-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005
接下来在cmd命令行中运行如下生命:
java -jar -agentlib:jdwp=transport=dt_socket,server=y,suspend=y,address=5005 oracleShell.jar
三、Maven的使用
IDEA中可以在新建项目时选择创建Maven项目。创建完成后会包含pom.xml文件,对于安全人员来说,可以从pom.xml文件中审查当前java应用程序是否使用了存在安全隐患的组件,以及快速搭建特定版本的漏洞环境。
四、Swagger特点及使用
通过http://Path/swagger-ui.html可以为前端展示相关的API文档,并像使用Postman以及Curl命令一样,通过Web界面进行接口测试。
这篇关于java代码审计学习笔记的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-11-15JavaMailSender是什么,怎么使用?-icode9专业技术文章分享
- 2024-11-15JWT 用户校验学习:从入门到实践
- 2024-11-15Nest学习:新手入门全面指南
- 2024-11-15RestfulAPI学习:新手入门指南
- 2024-11-15Server Component学习:入门教程与实践指南
- 2024-11-15动态路由入门:新手必读指南
- 2024-11-15JWT 用户校验入门:轻松掌握JWT认证基础
- 2024-11-15Nest后端开发入门指南
- 2024-11-15Nest后端开发入门教程
- 2024-11-15RestfulAPI入门:新手快速上手指南