本文转载自微信公众号《绕过》,作者绕过。转载本文请联系旁路公众号。越来越多的企业使用Java语言构建企业Web应用,基于Java的主流框架和技术以及可能存在的风险成为人们关注的焦点。本文从黑盒渗透的角度,总结了JavaWeb应用已知的一些可能的可利用入侵点。1.中间件漏洞基于Java的web项目部署涉及到一些中间件。一旦中间件配置不当或存在高危漏洞,将严重影响整个系统的安全。1.Web中间件Weblogic系列漏洞:弱口令&&后台getshellSSRF漏洞反序列化RCE漏洞Jboss系列漏洞:未授权访问Getshell反序列化RCE漏洞Tomcat系列漏洞:弱口令&&后台getshellTomcatPUT方法任意写文件漏洞Websphere系列漏洞:弱password&&后台getshellXXE漏洞远程代码执行漏洞Coldfusion系列漏洞:文件读取漏洞反序列化RCE漏洞GlassFish系列漏洞:弱口令&&后台getshell任意文件读取漏洞Res系列漏洞:弱口令&&后台getshell任意文件读取漏洞2缓存/消息/搜索/分布式中间件Redis系列漏洞:未授权访问getshell主从复制RCEActiveMQ系列漏洞:ActiveMQ任意文件写入漏洞特性ActiveMQ反序列化漏洞Kafka系列漏洞:未授权访问漏洞反序列化漏洞Elasticsearch系列漏洞:命令执行漏洞编写webshel??l漏洞ZooKeeper系列漏洞:未授权访问漏洞框架和组件漏洞II.框架和组件漏洞基于Java开发的Web应用会使用到各种开发框架和第三方组件,随着时间的推移,这些框架和组件可能不再安全。1、开发框架Struts2系列漏洞:S2-001至S2-061漏洞安全公告:https://cwiki.apache.org/confluence/display/WW/Security+BulletinsSpring系列漏洞:SpringSecurityOAuth2远程命令执行漏洞SpringWebFlow远程代码执行漏洞SpringDataRest远程命令执行漏洞SpringMessaging远程命令执行漏洞SpringDataCommons远程命令执行漏洞SpringCloud系列漏洞:SpringBootActuator未授权访问SpringtBoot相关漏洞:https://github.com/LandGrey/SpringBootVulExploitDubbo漏洞系列:Dubbo反序列化漏洞Dubbo远程代码执行漏洞二、第三方组件Shiro系列漏洞:Shiro默认键导致命令执行漏洞ShirorememberMe反序列化漏洞(Shiro-550)ShiroPaddingOracle攻击(Shiro-721)Fastjson系列漏洞bilities:Fastjson反序列化RCEFastjson远程命令执行Jackson系列漏洞:反序列化RCE漏洞Solr系列漏洞:XML实体注入漏洞文件读取和SSRF漏洞远程命令执行漏洞JWT漏洞:敏感信息泄露伪造token暴力破解Key3.API接口漏洞基于前后端分离的开发模式,需要调用后端提供的接口进行业务交互。API接口安全测试是一项非常重要的工作。API安全:OWASPAPISecurity-Top10:https://owasp.org/www-project-api-security/API-Security-Checklist:https://github.com/shieldfy/API-Security-Checklist/CommonAPI相关漏洞:逻辑越界信息泄露接口滥用I/O控制安全配置错误
