java代码审计的点
组件的审计
首先看pom.xml查看第三方组件和第三方组件的版本
常用的第三方组件:
| 第三方组件 | 漏洞类型 | 组件漏洞版本 |
|---|---|---|
| log4j2 | 远程代码执行 | Apache log4j2 >= 2.0, <= 2.14.1 |
| Fastjson | 反序列化远程代码执行 | Fastjson <= 1.2.80 |
| iBatis(MyBatis) | SQL注入 | |
| Struts2 | 命令执行 | |
| Shiro | 反序列化 | |
| 中间件 | Tomcat,WebLogic,WebShere Jboss,Jetty,Glassfish | |
| ..... | ... |
相关文章