商城系统审计代码审计
1 开源组件通用性漏洞审计1.1 fastjson漏洞审计与验证
1.1.1 干系知识
Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java对 象之间相互转换。
Fastjson反序列化漏洞简单来说是出现在将JSON数据反序列化过程中出现的漏洞。 攻击者可以传入一个恶意构造的JSON内容,程序对其进行反序列化后得到恶意类并实行了恶意类中的恶意函数,进而导致代码实行。
两个主要接口是JSON.toJSONString和JSON.parseObject/JSON.parse,分别实现序列化和 反序列化操纵。
1.1.2 漏洞审计
1 通过查看pom文件,发现该系统引入fastjson-1.2.58,故推测可能存在该漏洞
https://i-blog.csdnimg.cn/direct/0f150df2e503426bb3c474de5a188855.png
2 全局搜刮,
全局检索JSON.toJSONString和JSON.parseObject/JSON.parse,探求漏洞入口。
https://i-blog.csdnimg.cn/direct/0af87122d1b945948a6ae8e493e60efa.png
3 对漏洞爆发点进行参数污点追踪
https://i-blog.csdnimg.cn/direct/801e6e4f2d2d4485a5357f74fbb685bb.png
发现151行污点参数来自于前端哀求,以是从源码条理上确定了漏洞存在
1.1.3 漏洞复现
(1)启动项目后,探求对应的功能点
探求的方式大概有两个:(1)根据业务功能看哀求的对应API (2)从白盒角度检索看哪个前端页面
调用了对应的API
添加产品后提交,获取的报文如下:
https://i-blog.csdnimg.cn/direct/a255bf1424704e988c6e1b3760b0de15.png
(2)将其修改为payload,如下
product_category_id=1&product_isEnabled=0&product_name=wasd&product_title=12&product_price=12&product_sale_price=34&propertyJson={"
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]