当前位置：首页 > news >正文

用个人免费空间快速建立个人网站后方平台/网站运营指标

news 文章来源：https://blog.csdn.net/weixin_46239998/article/details/139999774 2025/3/14 21:10:09

用个人免费空间快速建立个人网站后方平台,网站运营指标,网站默认主页设置,成都微信网站建设前言因为笔者也是代码审计初学者，写得不好的地方请见谅。该文章是以项目实战角度出发，希望能给大家带来启发。审计过程审计思路 1、拿到一个项目首先要看它使用了什么技术框架，是使用了ssh框架，还是使用了ssm框架&#xff…

前言

因为笔者也是代码审计初学者，写得不好的地方请见谅。该文章是以项目实战角度出发，希望能给大家带来启发。

审计过程

审计思路

1、拿到一个项目首先要看它使用了什么技术框架，是使用了ssh框架，还是使用了ssm框架，还是servlet等。

2、看看是否使用了shiro、spring security等统一的权限控制框架，如果未使用，则可以重点梳理一下逻辑漏洞。

3、通过lib、pom等查看开源组件版本信息，看看是否存在通用漏洞。

通过目录通识项目

从目录可知，该项目是ssh框架

审计SQL注入

思路：

1、追踪参数是否来自前端，并且来自前端的参数未经过安全处理。在jdbc技术、hibernate中使用+进行拼接，在mybatis中使用$符号拼接。

2、关键词直接搜：like、in、order by、group by等等

在上面提到该项目使用了ssh框架，也就是说项目如果使用了sql语句，则会用+进行拼接。所以按住ctrl+shift+R进行关键词全局搜索，like、IN、order by、group by，然后看看 SQL 是不是用加号 + 的就行了。

先搜索like，然后拉下来浏览文件，发现没有使用+拼接，所以这处不存在sql注入。

搜索in，然后拉下来浏览文件，然后点击进去

发现参数以数组绑定方式进行传参，有效地防止sql注入

搜索order by，然后拉下来浏览文件

随便点几个看看，发现order by后面的不是参数，所以不存在sql注入

搜索group by，发现没有SQL注入

审计XSS注入

思路：全局搜索XSS关键字是否设置了防御XSS的过滤且是否生效，因为有时候开发为了性能，虽然设置了XSS全局过滤器，但是没有开启，这也会导致XSS注入发生，也或者开启了全局过滤XSS，但是排除了某些API，那么这也会导致XSS注入事件发生。

注意：XSS全局过滤器无法过滤上传文件的内容，即可以上传一个带有弹窗功能代码的文件，这个也会导致XSS发生。

审计过程如下：

首先全局搜索XSS，发现似乎有xss防御机制。

点进去仔细分析一下看看，发现有一个正则匹配，

这个正则表达式的目的是在进行字符串检测时，优先考虑 ID 选择器（即以 # 开头的情况），以避免通过 location.hash 属性引发的 XSS 攻击。location.hash 是 URL 的片段标识符，如果直接将其内容当作 HTML 解析，可能导致安全漏洞。因此，通过优先识别 ID 选择器，可以有效降低这种攻击的风险。

但是 <script>alert('111')</script> 这样的字符串不能被这个正则表达式防止，因为这个正则表达式的主要目的是快速识别和区分 HTML 片段和 ID 选择器，并不是用于防止 XSS 攻击。

验证：

随便找一处，看看存不存在XSS注入。

点击保存，发现弹窗，即证明存在存储型xss注入。

从源码上分析：

首先根据页面特征找到对应的源码

我这里是通过【类型管理】找到对应的源码。

点进去看看是否能对应

看到上面的界面貌似是对应的后端，但是不敢确定所以打个断点，然后从前端提交数据，看看能不能进来

如下图所示，即找到了对应的后端。

补充：在Spring MVC中

@Valid 注解

@Valid 是一个用于启动Java Bean Validation的注解。它表示要对传入的对象（在这个例子中是 SystemTypeList 实体）进行验证。
当你在方法参数上使用 @Valid 注解时，Spring会自动根据实体类中的注解（如 @NotNull, @Size, @Min, @Max 等）对传入的数据进行验证。
如果验证失败，验证错误信息会被存储在 BindingResult 对象中。

BindingResult 参数

BindingResult 是一个Spring框架提供的接口，用于存储验证结果和绑定错误。
BindingResult 必须紧跟在需要验证的对象参数之后，否则Spring会抛出一个异常。
如果验证失败，BindingResult 对象会包含错误信息。你可以使用它来检查是否有验证错误，并获取具体的错误信息

利用下面这行代码进行校验

ResultVO res = BindingResultVOUtil.*hasErrors*(br);

点击下一步，发现校验成功