欢迎来到尧图网

客户服务 关于我们

您的位置:首页 > 汽车 > 新车 > 商城系统审计代码审计

商城系统审计代码审计

2024/11/30 0:22:31 来源:https://blog.csdn.net/weixin_45653478/article/details/140850713  浏览:    关键词:商城系统审计代码审计

1 开源组件通用性漏洞审计

1.1 fastjson漏洞审计与验证

1.1.1 相关知识

Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java对 象之间相互转换。

Fastjson反序列化漏洞简单来说是出现在将JSON数据反序列化过程中出现的漏洞。 攻击者可以传入一个恶意构造的JSON内容,程序对其进行反序列化后得到恶意类并执行了恶意类中的恶意函数,进而导致代码执行。

两个主要接口是JSON.toJSONString和JSON.parseObject/JSON.parse分别实现序列化和 反序列化操作

1.1.2 漏洞审计

1 通过查看pom文件,发现该系统引入fastjson-1.2.58,故猜测可能存在该漏洞

2 全局搜索,

全局检索JSON.toJSONString和JSON.parseObject/JSON.parse,寻找漏洞入口。

3 对漏洞爆发点进行参数污点追踪

发现151行污点参数来自于前端请求,所以从源码层次上确定了漏洞存在

1.1.3 漏洞复现

(1)启动项目后,寻找对应的功能点

寻找的方式大概有两个:(1)根据业务功能看请求的对应API (2)从白盒角度检索看哪个前端页面

调用了对应的API

添加产品后提交,获取的报文如下:

(2)将其修改为payload,如下

product_category_id=1&product_isEnabled=0&product_name=wasd&product_title=12&product_price=12&product_sale_price=34&propertyJson={"

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com