代码审计 | 你一定会审的java系统
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
2024年,计算机科学与技术大学生小胖写了一套学生管理系统作为毕业设计。他希望通过审计这套系统的Java代码来学习。文章介绍了系统的部署环境和代码审计的步骤,包括查看源码目录结构、审计第三方组件、绕过验证码进行黑盒测试、分析源码中的漏洞产生原因等。
🎯
关键要点
- 小胖作为计算机科学与技术的大学生,写了一套学生管理系统作为毕业设计。
- 小胖希望通过审计这套系统的Java代码来学习。
- 文章介绍了系统的部署环境,包括Windows 10、JDK 1.8.0_172、MySQL 5.7等。
- 审计步骤包括查看源码目录结构、审计第三方组件、绕过验证码进行黑盒测试等。
- 使用IDEA打开项目进行代码审计,检查fastjson、mybatis、shiro、log4j等第三方组件。
- 通过黑盒测试发现登录存在验证码刷新机制的缺陷,可能导致暴力破解漏洞。
- 分析源码中的漏洞产生原因,发现相关信息在代码注释中有说明。
- 项目使用mybatis,检查是否存在SQL注入漏洞。
➡️
