ToB企服应用市场:ToB评测及商务社交产业平台

标题: 商城系统审计代码审计 [打印本页]

作者: 熊熊出没 时间: 2024-8-3 03:41
标题: 商城系统审计代码审计
1 开源组件通用性漏洞审计

1.1 fastjson漏洞审计与验证

1.1.1 干系知识

Fastjson是Alibaba开发的Java语言编写的高性能JSON库，用于将数据在JSON和Java对象之间相互转换。
Fastjson反序列化漏洞简单来说是出现在将JSON数据反序列化过程中出现的漏洞。攻击者可以传入一个恶意构造的JSON内容，程序对其进行反序列化后得到恶意类并实行了恶意类中的恶意函数，进而导致代码实行。
两个主要接口是JSON.toJSONString和JSON.parseObject/JSON.parse，分别实现序列化和反序列化操纵。
1.1.2 漏洞审计

1 通过查看pom文件，发现该系统引入fastjson-1.2.58，故推测可能存在该漏洞

2 全局搜刮，
全局检索JSON.toJSONString和JSON.parseObject/JSON.parse,探求漏洞入口。

3 对漏洞爆发点进行参数污点追踪

发现151行污点参数来自于前端哀求，以是从源码条理上确定了漏洞存在
1.1.3 漏洞复现

（1）启动项目后，探求对应的功能点
探求的方式大概有两个：（1）根据业务功能看哀求的对应API （2）从白盒角度检索看哪个前端页面
调用了对应的API
添加产品后提交，获取的报文如下：

(2)将其修改为payload，如下

product_category_id=1&product_isEnabled=0&product_name=wasd&product_title=12&product_price=12&product_sale_price=34&propertyJson={"

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)