Javaweb中jar包等第三方框架自动化审计

  • Post author:
  • Post category:java


​​​

​购物网站代码审计​


开发框架的审计无非是对代码中引入的jar包进行审计,其实这个审计可以认为是一种静态的审计方法,也就是对jar包版本号的审计,这里分两种情况1、直接对jar包扫描 2、maven框架下的审计

1、直接对jar包扫描

说到扫描,就不得不说工具,对jar包直接的扫描推荐大家使用Dependency-Check工具,他是一个开源的程序,主要用于识别项目依赖项并检查是否存在已知的,公开披露的漏洞,目前支持Java、.NET、Ruby、Node.js、Python等语言。


下载方式:

Dependency-Check工具下载地址​

​https://owasp.org/www-project-dependency-check/​

​,在右侧选择command line,如下图:

这个工具里面主要依赖NVD漏洞数据库(美国国家通用数据库)

使用方法:

解压后进入bin文件,在win系统下执行下面命令

dependency-check.bat –disableRetireJS –disableNodeJS –project test -s D:\checkjar-o D:\report\

其中:

-project代表工程名

–s代表检查的jar包文件夹,

把需要检查的jar包放到该目录下即可

–o代表报表输出的路径

–disableRetireJS不检查js,

–disableNodeJS不检查nodejs

输出的检查报告:

下面每个版本的漏洞都会有版本的区间的描述

比如CVE-2019-17571漏洞版本在1.2-1.2.17之间

当然了,如果你是离线审计,也可以将NVD库搭建到本地,这样就会更加的方便,搭建方法:

我们可以在本地搭建一个NVD库来提高更新效率,

具体可以参考​

​https://jeremylong.github.io/DependencyCheck/data/mirrornvd.html​

使用本地nvd库,具体命令如下:

dependency-check.bat

–cveUrlModified 本地nvd库的url/nvdcve-1.1-modified.json.gz

–cveUrlBase本地nvd库的url/nvdcve-1.1-2020.json.gz

–project test -s D:\checkjar\ -oD:\report\

其中–cveUrlModified和–cveUrlModified指定本地NVD库

注意,如果执行命令失败,重新执行一次就OK!

如需要更多干货可以关注公众号:



版权声明:本文为liguangyao213原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。