【Java代码审计】代码审计的方法及常用工具

代码审计的常用思路
代码审计辅助工具
- 代码编辑器
- 测试工具
- 反编译工具
- Java 代码静态扫描工具

代码审计的常用思路

1、接口排查（“正向追踪”）：先找出从外部接口接收的参数，并跟踪其传递过程，观察是否有参数校验不严的变量传入高危方法中，或者在传递的过程中是否有代码逻辑漏洞

2、危险方法溯源（“逆向追踪”）：检查敏感方法的参数，并查看参数的传递与处理，判断变量是否可控并且已经过严格的过滤

3、功能点定向审计：根据经验判断该类应用通常会在哪些功能中出现漏洞，直接审计该类功能的代码

4、第三方组件、中间件版本比对：检查 Web 应用所使用的第三方组件或中间件的版本是否受到已知漏洞的影响

5、补丁比对：通过对补丁做比对，反推漏洞出处

6、“黑盒测试”+“白盒测试”：白盒测试少直觉，黑盒测试难入微。虽然代码审计的过程须以“白盒测试”为主，但是在过程中辅以“黑盒测试”将有助于快速定位到接口或做更全面的分析判断。交互式应用安全测试技术 IAST 就结合了“黑盒测试”与“白盒测试”的特点

7、“代码静态扫描工具”+“人工研判”：对于某些漏洞，使用代码静态扫描工具代替人工漏洞挖掘可以显著提高审计工作的效率。然而，代码静态扫描工具也存在“误报率高”等缺陷，具体使用时往往需要进一步研判

8、开发框架安全审计：审计 Web 应用所使用的开发框架是否存在自身安全性问题，或者由于用户使用不当而引发的安全风险

代码审计辅助工具

代码编辑器

1、Sublime

Sublime 是一款轻量级的、功能强大的代码及文本编辑器，允许用户以插件的形式拓展功能

2、IDEA （推荐）

IntelliJ IDEA 是由 Jetbrains 公司开发的一款 Java IDE，自带反编译、动态调试以及代码搜索等功能，为漏洞定位和挖掘提供了极大的便利。相比 Eclipse 需要安装相关插件才可以完成反编译等工作，IntelliJ IDEA 自带的强大功能更有利于我们进行代码审计

3、Eclipse

Eclipse 是 Java 开发者非常喜欢的工具之一，它具有强大的编辑、调试功能，允许开发人员安装不同的插件，从而拓展不同的功能。例如，基于 Eclipse 的 FindBugs漏洞扫描插件可以帮助开发者寻找应用程序中的各种 Bug

测试工具

1、Burp Suite

Burp Suite 是渗透测试工作者必备的一款工具，同时对于代码审计者和安全研究人员来说，这也是一款比较重要的测试工具，其跨平台、便捷、强大的功能以及丰富的插件，深受信息安全从业者的喜爱

2、SwitchyOmega

SwitchyOmega 是一款代理管理插件，支持 Firefox 和 Chrome 浏览器，并支持HTTP、HTTPS、socket4 和 socket5 协议。在日常实际测试工作中，常需要切换代理，SwitchyOmega 可以方便、快速地完成代理设置的切换

3、Postman

Postman 是一款功能强大的网页调试工具，能够为用户提供强大的 Web API &HTTP 请求调试功能。Postman 能够发送任何类型的 HTTP 请求，方便测试人员观察响应的内容

4、Postwomen

Postman 是一款便捷的 API 接口调试工具，但是由于其高级功能需要付费，因此 Postwomen 应运而生。Postwomen 是一个用于替代 Postman 且免费开源、轻量级、快速且美观的 API 调试工具。Postwomen 由 Node.js 开发，除支持主流的Restful 接口调试外，还支持 GraphQL 和 WebSocket

5、Ysoserial

Ysoserial 是一款开源的 Java 反序列化测试工具，内部集成有多种利用链，可以快速生成用于攻击的代码，也可以将新公开的反序列化漏洞利用方式自行加入 Ysoserial 中