文中摘自微信公众平台「Bypass」,作者Bypass。转截文中请联络Bypass微信公众号。
愈来愈多的公司选用Java语言搭建公司Web应用软件,根据Java流行的结构和技术性及很有可能具有的风险性,变成被关心的关键。
文中从白盒渗入的视角,汇总下Java Web运用所了解的一些很有可能被利用的侵入点。
一、中间件漏洞
根据Java的Web新项目布署会涉及到一些中间件,一旦中间件配备不合理或存有高风险漏洞,就会严重影响到整体体系的安全性。
1. Web中间件
Weblogic系列产品漏洞:
- 弱口令 && 后台管理getshell
- SSRF漏洞
- 反序列化RCE漏洞
Jboss系列漏洞:
- 未认证浏览Getshell
- 反序列化RCE漏洞
Tomcat系列产品漏洞:
- 弱口令&&后台管理getshell
- Tomcat PUT方式随意写文档漏洞
Websphere系列产品漏洞:
- 弱口令&&后台管理getshell
- XXE漏洞
- 远程控制执行命令漏洞
Coldfusion系列漏洞:
- 文档载入漏洞
- 反序列化RCE漏洞
GlassFish系列漏洞:
- 弱口令&&后台管理getshell
- 随意文档载入漏洞
Resin系列漏洞:
- 弱口令&&后台管理getshell
- 随意文档载入漏洞
2. 缓存文件/信息/检索/分布式系统中间件
Redis系列漏洞:
- 未认证浏览getshell
- 主从复制RCE
ActiveMQ系列产品漏洞:
- ActiveMQ随意文档载入漏洞
- ActiveMQ反序列化漏洞
Kafka系列漏洞:
- 未认证浏览漏洞
- 反序列化漏洞
Elasticsearch系列漏洞:
- 指令实行漏洞
- 载入webshell漏洞
ZooKeeper系列产品漏洞:
- 未认证浏览漏洞
- 架构及部件漏洞
二、架构及部件漏洞
根据Java开发设计的Web运用,会应用到各种各样开发框架和第三方部件,而伴随着时间流逝,这种架构和部件很有可能早就不会再安全性了。
1. 开发框架
Struts2 系列产品漏洞:
- S2-001 到 S2-061漏洞
- 安全性公示:https://cwiki.apache.org/confluence/display/WW/Security Bulletins
Spring 系列产品漏洞:
- Spring Security OAuth2远程连接命令实行漏洞
- Spring WebFlow远程控制执行命令漏洞
- Spring Data Rest远程连接命令实行漏洞
- Spring Messaging远程连接命令实行漏洞
- Spring Data Commons远程连接命令实行漏洞
SpringCloud 系列产品漏洞:
- Spring Boot Actuator 未认证浏览
- Springt Boot 有关漏洞:https://github.com/LandGrey/SpringBootVulExploit
Dubbo 系列产品漏洞:
- Dubbo 反序列化漏洞
- Dubbo 远程控制执行命令漏洞
2. 第三方部件
Shiro 系列产品漏洞:
- Shiro 默认设置密匙致指令实行漏洞
- Shiro rememberMe 反序列化漏洞(Shiro-550)
- Shiro Padding Oracle Attack(Shiro-721)
Fastjson 系列产品漏洞:
- Fastjson反序列化RCE
- Fastjson远程连接命令实行
Jackson系列漏洞:
- 反序列化RCE漏洞
Solr系列产品漏洞:
- XML实体线引入漏洞
- 文档载入与SSRF漏洞
- 远程连接命令实行漏洞
JWT漏洞:
- 比较敏感数据泄露
- 仿冒token
- 暴力破解密码密匙
3. API 插口漏洞
根据静态页面的开发方式,都必须根据启用后面给予的插口来实现业务流程互动,api接口安全性测试是一项十分关键的每日任务。
API Security:
普遍API有关漏洞:
- 逻辑性滥用权力
- 数据泄露
- 插口乱用
- I/O操纵
- 安全性不正确配备