原文来自:https://bbs.ichunqiu.com/thread-42149-1-1.html
本期斗哥带来Java代码审计的一些环境和工具准备。
Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难,本文记录斗哥在开始去审计Java代码的一些准备,希望能够帮助到刚入门的新手朋友们。
0×00 Java环境说明
1. 安装Java环境
安装完成后默认的安装目录:
环境变量的配置,环境变量配置主要是告诉我们自己的电脑Java安装完后几个关键文件的路径。
●JDK的安装路径在哪里?——JAVA_HOME
●JDK命令文件位置(bin文件夹路径)——PATH
●类库文件的位置(lib文件夹路径)—— CLASSPATH
2. 运行Java程序
Java的代码要执行前是需要事先编译的,编译器先将Java源文件编译成二进制的文件,而进一步解析器在解析成二进制的文件。
HelloWorld.java
一般java源码文件没有办法像PHP或者Python那样直接解析,所以不借助IDE的话,我们需要通过javac这个命令去进行编译。
编译完后得到.class相应的字节码文件,这是可以用java直接解析。
3. Java反编译
由于很多时候我们得到并不是java的源码文件,而是.class结尾的字节码文件。所以我们需要一个工具帮助我们反编译看到相应的源代码。那这里推荐大家使用jd-gui这个工具。
下图描述的上述过程:
4. Java平台
刚接触到Java平台的时候,会接触到几个名词,如JavaSE,JavaEE,JavaME等等名词。简单来理解:
●Java SE —— 开发电脑软件
●Java EE —— 开发WEB网站
●Java ME —— 开发手机软件
Java SE(Java Platform,Standard Edition):允许开发和部署在桌面、服务器、嵌入式环境和实时环境中使用的 Java 应用程序。Java SE 包含了支持 Java Web 服务开发的类。
Java EE(Java Platform,Enterprise Edition):Java EE 是在 Java SE 的基础上构建的,它提供 Web 服务、组件模型、管理和通信 API,用来实现企业级的面向服务体系结构和 Web 2.0应用程序。
Java ME(Java Platform,Micro Edition): 为在移动设备和嵌入式设备(比如手机、PDA、电视机顶盒和打印机)上运行的应用程序提供一个健壮且灵活的环境。
0×02 Tomcat的安装和使用
1. Tomcat简介
常见的Java服务器:Tomcat、Weblogic、JBoss、GlassFish、Jetty、Resin、IBM Websphere等。
Tomcat服务器是一个免费的开放源代码的Web应用服务器,属于轻量级应用服务器,在中小型系统和并发访问等很多的场合下被普遍使用,是开发和调试JSP程序的首选。
Tomcat安装包可以去到apache的官网去下载,解压后它的目录结构如下:
2.Tomcat部署源码
例子:javapms公测版源码部署
将ROOT目录重命名为javapms1.4拷贝到tomcat的webapp目录下。
访问http://127.0.0.1:8080/javapms1.4/
0×03 IDE的使用
1.选择适合自己的IDE
个人比较习惯使用IDEA,除了IDEA以外,myeclipse也是一个不错的选择。
2.IDEA上部署WEB项目
因为在IDE上部署项目的话,更方便我们去调试代码和代码跟踪。
例子:javapms公测版源码部署。
配置运行程序,如配置tomcat。
安装:http://127.0.0.1:8080/javapms1.4
3.IDEA上调试功能
这里主要用到的是IDEA的Debug功能。
下面是几个调试中会用到的几个快捷键:
●F7 ,进入下一步,如果当前断点是一个方法,进入方法体。
●F8 ,进入下一步,但不会进入方法体内。
●Alt+Shift+F7 , 进入下一步,如果当前断点是一个方法,方法还有方法则循环进入。
●Shift+F8 ,跳出到下一个断点,也可以按F9来实现。
●Drop Frame ,当进入一个方法体想回退到方法体外可以使用该键。
0×04 Maven——项目管理和构建工具
1.Maven介绍
Maven是一种自动构建项目的方式,可以帮助我们自动从本地和远程仓库拉取关联jar包。
官网地址:
maven 远程仓库:
之前审计的WebGoat就是使用Maven部署起来的。
2.Maven部署项目
在IDEA上部署Maven项目,这边以部署WebGoat源码为例。
3.部署完成,运行与排错
如果使用旧版的IDEA,那么程序的兼容性比较高,直接运行StartWebGoat.java文件,该文件的完整路径是\WebGoat\webgoat-server\src\main\java\org\owasp\webgoat\StartWebGoat.java
然而不幸的是,使用最新版的IDEA报错了,报错信息如下:
这是由于WebGoat的代码编写不够规范,在项目下的pom.xml没有规范书写程序包com.beust.jcommander.internal的相关信息,需要补充完整,补充如下:
pom.xml的完整路径为\WebGoat\webgoat-container\pom.xml。
修改完成后,重新运行StartWebGoat.java,如果没有出错,看到控制台的Spring Boot运行界面说明编译和运行成功。
访问http://127.0.0.1:8080/WebGoat,即可看到WebGoat的登陆页面。
0×05 Fortify 代码审计工具
Fortify是一个自动化的代码审计工具,斗哥这里使用的是在FreeBuf上前辈们的2009年版的一款,框架是eclipse+规则库。而他的收费版本费用实在惊人。2009版的规则库都比较早期了,它允许我们自定义规则,所以可以在这个版本基础上增加审计规则。
有问题大家可以留言哦也欢迎大家到春秋论坛中来耍一耍 >>>点击跳转
原文地址:https://www.cnblogs.com/ichunqiu/p/9237872.html