学习笔记-java代码审计-环境搭建+前置知识

Java代码审计-环境搭建+前置知识

0x00 中间件

tomcat

因为个人比较矫情，不想在mac搭java的开发环境，就想着有没有本地写代码然后部署到虚拟机上运行。毕竟java是静态语言，在编译阶段就能找出一大部分错误。

remote server

首先使用idea新建一个tomcat remote server

注意mapped as那里填远程主机的tomcat webapps目录的位置。

然后选择idea与服务器连接的方式，这里我选择了sftp，并且新建了一个tomcat用户便于权限控制。

接着进行服务器端的配置，在catalina.sh开头添加如下内容：

export CATALINA_OPTS="-Dcom.sun.management.jmxremote
-Dcom.sun.management.jmxremote.port=10999 #与上图中JMX port的值相同
-Dcom.sun.management.jmxremote.ssl=false
-Dcom.sun.management.jmxremote.authenticate=false
-Djava.rmi.server.hostname=172.16.72.131" #服务器地址

export JAVA_OPTS="-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=64695 $JAVA_OPTS" #开放debug端口，用于远程调试。最后一定要加$JAVA_OPTS，否则会覆盖掉前面的配置。

export JAVA_OPTS="-Dcom.sun.management.jmxremote
-Dcom.sun.management.jmxremote.port=10999
-Dcom.sun.management.jmxremote.ssl=false
-Dcom.sun.management.jmxremote.authenticate=false $JAVA_OPTS"

如果有Error: Password file not found: /xxxx/jmxremote.password，则需要在对应目录创建jmxremote.password。

touch jmxremote.password
chmod 600 jmxremote.password #必须严格控制权限，否则tomcat会报错
chown tomcat:tomcat jmxremote.password	#修改文件用户组

这样就可以愉快的把代码上传到服务器部署了，远程调试也没有问题。但是马上就会发现一个很致命的问题——不能热更新。。。搜索半天，找到一个解决方案——jrebel。

remote server支持热更新

首先需要在idea中安装jrebel插件，这个网上有很多教程。

根据提示一步一步来就好了，这里很坑的一个点，就是第三步并没有定义jrebel的连接端口，个人的catalina-jrebel.sh内容如下：

#!/bin/bash
export REBEL_HOME="/home/tomcat/jrebel"
export JAVA_OPTS="\"-agentpath:$REBEL_HOME/lib/libjrebel64.so\" -Drebel.remoting_plugin=true -Drebel.remoting_port=8081 $JAVA_OPTS" #一定要定义一个remoting_port
`dirname $0`/catalina.sh $@

之后将catalina.sh相关操作替换为catalina-jrebel.sh就可以了，现在写完代码只要重新编译一次，就会自动同步到服务器上，实现热更新。

0x01 Jsp + Servlet + JDBC

项目依赖使用maven管理，首先来看最基本的java web技术。

一开始会将servlet的相关配置放在web.xml中，代码审计也需要从这个文件入手，对整个项目由一个整体把握。

<servlet>
        <servlet-name>UserServlet</servlet-name>
        <servlet-class>com.bfshop.servlet.UserServlet</servlet-class>
</servlet>
<servlet-mapping>
  <servlet-name>UserServlet</servlet-name>
  <url-pattern>/user</url-pattern>
</servlet-mapping>

在servlet3之后，可以用注解带代替xml中的配置。

@WebServlet(name = "XssServlet", value = "/xss")
public class XssServlet extends HttpServlet {}

filter

多个filter的拦截顺序和<filter-mapping>的配置顺序有关。这里写一个最简单的demo，将所有页面的编码设为utf-8。

<filter>
  <filter-name>Filter0Encode</filter-name>
  <filter-class>cn.seaii.vulnjsm.filter.Filter0Encode</filter-class>
</filter>
<filter-mapping>
  <filter-name>Filter0Encode</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

public class Filter0Encode implements Filter { //必须实现Filter接口
    public void destroy() {
    }

  	//由该方法对请求进行拦截
    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws ServletException, IOException {
        req.setCharacterEncoding("utf-8"); //设置编码
        chain.doFilter(req, resp); //放行，进入下一个filter或者目标页面
    }

		//private FilterConfig filterConfig;
  	//如果需要读取配置，可获取config参数
    public void init(FilterConfig config) throws ServletException {
				//this.filterConfig = config;
    }
}

同样，在servlet3之后支持以注解的形式来定义servlet。通过注解定义的filter，执行顺序是通过filter类名的首字母来判断的。

@WebFilter(filterName = "Filter0Encode", urlPatterns = {"/*"})
public class Filter0Encode implements Filter {}

listener

略

0x02 Spring

虽然这些东西已经被翻来覆去的快说烂了，但还是要记录一下。

spring的并不是一个新的web框架，而是作者认为java的框架已经足够多且功能完善，只需要一个“工具”将他们整合起来即可，因此spring诞生了。

Spring最重要的两个思想IOC(DI)和AOP：

IOC(DI)即控制反转（依赖注入），这里的控制指的是对类实例化的控制，反转是指通常类的实例化是由开发人员完成的，现在将这个权利给予容器（这里就是spring），告诉容器实例化类的方法，在使用时可以直接调用，降低的代码的耦合度和量，同时也增加了程序的可读性。
AOP即面向切面编程，思想与中类似（其实我不知道谁先谁后），简单理解就是将各个模块公用的模块（如打日志）抽出来，也可以降低代码的耦合度。