代码审计的常用思路

1、接口排查（“正向追踪”）：先找出从外部接口接收的参数，并跟踪其传递过程，观察是否有参数校验不严的变量传入高危方法中，或者在传递的过程中是否有代码逻辑漏洞

2、危险方法溯源（“逆向追踪”）：检查敏感方法的参数，并查看参数的传递与处理，判断变量是否可控并且已经过严格的过滤

3、功能点定向审计：根据经验判断该类应用通常会在哪些功能中出现漏洞，直接审计该类功能的代码

4、第三方组件、中间件版本比对：检查 Web 应用所使用的第三方组件或中间件的版本是否受到已知漏洞的影响

5、补丁比对：通过对补丁做比对，反推漏洞出处

6、“黑盒测试”+“白盒测试”：白盒测试少直觉，黑盒测试难入微。虽然代码审计的过程须以“白盒测试”为主，但是在过程中辅以“黑盒测试”将有助于快速定位到接口或做更全面的分析判断。交互式应用安全测试技术 IAST 就结合了“黑盒测试”与“白盒测试”的特点

7、“代码静态扫描工具”+“人工研判”：对于某些漏洞，使用代码静态扫描工具代替人工漏洞挖掘可以显著提高审计工作的效率。然而，代码静态扫描工具也存在“误报率高”等缺陷，具体使用时往往需要进一步研判

8、开发框架安全审计：审计 Web 应用所使用的开发框架是否存在自身安全性问题，或者由于用户使用不当而引发的安全风险

---

代码审计辅助工具

代码编辑器

1、Sublime

Sublime 是一款轻量级的、功能强大的代码及文本编辑器，允许用户以插件的形式拓展功能

2、IDEA （推荐）

IntelliJ IDEA 是由 Jetbrains 公司开发的一款 Java IDE，自带反编译、动态调试以及代码搜索等功能，为漏洞定位和挖掘提供了极大的便利。相比 Eclipse 需要安装相关插件才可以完成反编译等工作，IntelliJ IDEA 自带的强大功能更有利于我们进行代码审计

3、Eclipse

Eclipse 是 Java 开发者非常喜欢的工具之一，它具有强大的编辑、调试功能，允许开发人员安装不同的插件，从而拓展不同的功能。例如，基于 Eclipse 的 FindBugs漏洞扫描插件可以帮助开发者寻找应用程序中的各种 Bug

测试工具

1、Burp Suite

Burp Suite 是渗透测试工作者必备的一款工具，同时对于代码审计者和安全研究人员来说，这也是一款比较重要的测试工具，其跨平台、便捷、强大的功能以及丰富的插件，深受信息安全从业者的喜爱

2、SwitchyOmega

SwitchyOmega 是一款代理管理插件，支持 Firefox 和 Chrome 浏览器，并支持HTTP、HTTPS、socket4 和 socket5 协议。在日常实际测试工作中，常需要切换代理，SwitchyOmega 可以方便、快速地完成代理设置的切换

3、Postman

Postman 是一款功能强大的网页调试工具，能够为用户提供强大的 Web API &HTTP 请求调试功能。Postman 能够发送任何类型的 HTTP 请求，方便测试人员观察响应的内容

4、Postwomen

Postman 是一款便捷的 API 接口调试工具，但是由于其高级功能需要付费，因此 Postwomen 应运而生。Postwomen 是一个用于替代 Postman 且免费开源、轻量级、快速且美观的 API 调试工具。Postwomen 由 Node.js 开发，除支持主流的Restful 接口调试外，还支持 GraphQL 和 WebSocket

5、Ysoserial

Ysoserial 是一款开源的 Java 反序列化测试工具，内部集成有多种利用链，可以快速生成用于攻击的代码，也可以将新公开的反序列化漏洞利用方式自行加入 Ysoserial 中

6、Marshalsec

Marshalsec 是一款开源的 Java 反序列化测试工具，不仅可以生成各类反序列化利用链，还可以快速启动恶意的 RMI 服务等

7、Beyond Compare

Beyond Compare 是由 Scooter Software 推出的文件比较工具，主要对比两个文件夹或者文件，并以颜色标示差异，比较范围包括目录、文档内容等。使用该工具可以方便代码审计人员快速地比对两个版本代码的差别

反编译工具

1、JD-GUI

JD-GUI 是一款具有 UI 界面的反编译工具，界面简洁大方，使用简单方便

2、FernFlower

FernFlower 反编译工具的功能比 JD-GUI 更强大。该工具虽然没有 UI 界面，但可以配合系统指令完成批量反编译的工作

3、CFR

CFR 也是功能强大的反编译工具，支持主流 Java 特性 - Java 8 lambda 表达式，以及 Java 7 字符串切换。在某些 JD-GUI 无法反编译的情况下，CFR 仍然能完美地进行反编译，也可以像 FernFlower 那样配合系统指令进行批量反编译

4、IntelliJ IDEA

IntelliJ IDEA 反编译工具能够自动解包已添加依赖的 Jar 包，并对其内容进行反编译。该工具拥有强大的动态调试和字符串匹配和搜索功能，为审计和调试漏洞的工作提供了极大便利

Java 代码静态扫描工具

1、Fortify SCA

Fortify SCA 是获得业界认可的静态代码检查工具，但它是收费的。Fortify SCA的核心在于规则库，用户可以自定义规则库，减少误报

2、 FindBugs（SpotBugs） 与 FindSecBugs 插件

FindBugs 是一款 Bug 扫描插件，在 IDEA 和 Eclipse 中都可进行安装。FindBugs可以帮助开发人员发现代码缺陷，减少 Bug，但其本身并不具备发现安全漏洞的能力，需要安装 FindSecBugs 拓展发现安全漏洞的能力

SpotBugs是Findbugs的继任者（Findbugs已经于2016年后不再维护），所以二者用法基本一样，可以独立使用，也可以作为插件使用。SpotBugs 需要运行在 JDK1.8 以上的版本，可以分析 JDK1.0~1.9版本编译的 Java 程序

IDEA安装SpotBugs插件：

下载https://find-sec-bugs.github.io/download.htm，用于安全检测的支持：

SpotBugs添加FindSecBugs规则库：

添加成功：

可根据需求选取要扫描的相关主题，风险警告和准确率，如图配置选择进行安全漏洞扫描。我们这里关注安全类型的 bug，所以勾选 “Security” 选项。默认报告配置最低风险警告（Minimum rank）是20，准确率（Minimum confidence）是 Medium

在项目目录右键会发现多了一个 “SpotBugs” 选项，可以选择分析某个模块或者整个项目。选择如下所示选项后便开始进行安全扫描：

扫描结果：