Xcheck之Java安全检查引擎

2021-06-11 7,845

image79.png

Java安全检查引擎

Xcheck的java安全检查引擎支持Spring RequestMappingJAX-RSWebServiceJava Servlet几种常用web接口的代码安全检查,目前内部误报率数据统计低于10%,扫描速度1w+行每秒。

覆盖漏洞类别包括但不限于以下:

  • 系统命令注入
  • 模板注入
  • 反序列化
  • 路径穿越漏洞
  • SQL注入
  • XML实体注入
  • XPATH注入

image.png

OWASP Benchemark评测结果

OWASP benchmark是OWASP组织下的一个开源项目,又叫作OWASP基准测试项目,它是免费且开放的测试套件。可用来评估那些自动化安全扫描工具的速度、覆盖范围和准确性

image.png

从上图结果可以看出,对注入类漏洞(LDAPI、PATH Traversal、SQLI、XPATHI、CMDI)Xcheck的召回率均达到了100%

image.png

从上图可以看出,对于基于benchmark评测,Xcheck的测试结果是与现有的某些商业化的代码检查工具的测试结果是不相上下的。

image.png

Apache Ambari任意代码执行漏洞:CVE-2014-3582 检测

在对内部项目的代码检查中,发现一个项目存在命令注入漏洞,经过查找,确认是已经披露出来的Apache Ambari任意代码执行漏洞——CVE-2014-3582。

image.png

漏洞分析如下:

  1. 污点引入,java/org/apache/ambari/server/security/unsecured/rest/CertificateSign.java,63行

    image.png

  2. 跟进signAgentCrt函数,java/org/apache/ambari/server/security/CertificateManager.java,187行。在192行将污点传递给agentHostname,在239行agentHostname传递给agentCrtName,然后又到scriptArgs当中。
    image.png
  3. java/org/apache/ambari/server/security/CertificateManager.java,271行。调用runCommand函数,然后触发漏洞。
    image.png
    整理数据流分析图如下:
    image.png

最后

Xcheck的Java引擎还在不断优化提升过程中,期间也发现不少开源项目的0day漏洞,待修复之后会分享出  来,敬请期待。

专注于代码安全 | 公众号:腾讯代码安全检查Xcheck

本文作者:Xcheck

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/160795.html

Tags:
评论  (0)
快来写下你的想法吧!

Xcheck

文章数:9 积分: 65

专注于代码安全 | 公众号:腾讯代码安全检查Xcheck

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号