2018先知白帽大会(敏信科技)演讲课件.pptxVIP

代码审计点线面实战 2018 ID ：jkgh006 姓名：石肖雄 公司：杭州敏信科技 前 言 随着各个企业对安全的重视程度越来越深，安全思维已经从原来的表面工程逐渐转变为“开膛破肚”的内部工程，特别是在金融领域受重视的成都比较高，不区分语言，工程化的人工审计是未来几年 的趋势，代码审计的分解和实战成为安全工作者必须掌握的一种能力。 目录 01 安全代码审计 02 框架流程分析 03 三方应用笔记 04 接口滥用要记 01 安全代码审计 实战类型的代码审计，我们必须对语言安全的基础要有所要了解，每一种语言会有少许的差别。工欲善其事必先利其器，所以搭建自己的审计工具也是重中之重。 安全代码审计 SQL注入 反序列化 XML实体 SQL注入是指原始SQL查询被动态更改成一个与程序预期完全不同的查询。执行这样 一个更改后的查询可能导致信息泄露或者数据被篡改。 反序列化就是把字节序列恢复成对象的过程，这里，在恢复的过程中，可能会涉及调用一些类似内置函数或者析构函数之类的方法，由于编写不当造成了漏洞 使用不可信数据来构造XML会导致XML注入漏洞。 XML 实体可动态包含来自给定资源的数据。外部实体允许 XML 文档包含来自外部 URI 的数据。 代码安全审计–SQL注入 普通的注入 当nodeid为1 完整的语句是: select * from typestruct where nodeid in(1) 当nodeid为1) union select 1,2,3…….from table where 1=(1 完整的语句是: select * from typestruct where nodeid in(1) union select 1,2,3…….from table where 1=(1) 通常是没有走框架调用，通过字符串拼接的方式编写的查询语句，这样就会造成注入 代码安全审计–框架注入 框架注入 假设id为1234，当orgCode为1 完整的语句是: select ar.role_id, ar.role_name, ar.role_desc,1 as co_code, 1 as org_code, CREATOR from as_role ar where ar.role_id = 1 当nodeid为1||(case when 1=1 then else a end)|| 完整的语句是: select ar.role_id, ar.role_name, ar.role_desc,1 as co_code, 1||(case when 1=1 then else a end)|| as org_code, CREATOR from as_role ar where ar.role_id = 1 通常是没有明白框架调用的用法，错误的造成了字符串拼接，导致了注入 代码安全审计–ORM注入 ORM注入 数字类型（ JPQL ）： SELECT e FROM user e WHERE e.id = SQL((select 1 from dual where 1=1)’) and SQL((SELECT 1)=1’) 字符类型（JPQL）： 通常指的是类似hibernate一类具有安全语法检测的注入 ORM注入 数字类型（ Hibernate ORM ）： test\ or 1length((select version())) – 翻译成为HQL语句就变为： SELECT p FROM pl.btbw.persistent.Post p where =test\ or 1length((select version())) – 最后转变为真正的SQL语句： select post0_.id as id1_0_, post0_.name as name2_0_ from post post0_ where post0_.name=‘test\ or 1length((select version())) -- 这样我们就会逃逸出来一个语句或者方法 通常指的是类似hibernate一类具有安全语法检测的注入 代码安全审计–ORM注入 代码安全审计–反序列化 public void init() throws ServletException { if(connections == null) { connections = new Vector(); } if(server_socket == null) { ServletConfig config = super.getS