Javaweb中jar包等第三方框架自动化审计

​​​​购物网站代码审计​​

开发框架的审计无非是对代码中引入的jar包进行审计，其实这个审计可以认为是一种静态的审计方法，也就是对jar包版本号的审计，这里分两种情况1、直接对jar包扫描 2、maven框架下的审计

1、直接对jar包扫描

说到扫描，就不得不说工具，对jar包直接的扫描推荐大家使用Dependency-Check工具，他是一个开源的程序，主要用于识别项目依赖项并检查是否存在已知的，公开披露的漏洞，目前支持Java、.NET、Ruby、Node.js、Python等语言。

下载方式：

Dependency-Check工具下载地址​​https://owasp.org/www-project-dependency-check/​​，在右侧选择command line，如下图：

这个工具里面主要依赖NVD漏洞数据库（美国国家通用数据库）

使用方法：

解压后进入bin文件，在win系统下执行下面命令

dependency-check.bat --disableRetireJS --disableNodeJS --project test -s D:\checkjar-o D:\report\

其中:

-project代表工程名

–s代表检查的jar包文件夹，把需要检查的jar包放到该目录下即可

–o代表报表输出的路径

--disableRetireJS不检查js，

--disableNodeJS不检查nodejs

输出的检查报告：

下面每个版本的漏洞都会有版本的区间的描述

比如CVE-2019-17571漏洞版本在1.2-1.2.17之间

当然了，如果你是离线审计，也可以将NVD库搭建到本地，这样就会更加的方便，搭建方法：

我们可以在本地搭建一个NVD库来提高更新效率，

具体可以参考​​https://jeremylong.github.io/DependencyCheck/data/mirrornvd.html​​

使用本地nvd库，具体命令如下：

dependency-check.bat

--cveUrlModified 本地nvd库的url/nvdcve-1.1-modified.json.gz

--cveUrlBase本地nvd库的url/nvdcve-1.1-2020.json.gz

--project test -s D:\checkjar\ -oD:\report\

其中–cveUrlModified和–cveUrlModified指定本地NVD库

注意，如果执行命令失败，重新执行一次就OK！

如需要更多干货可以关注公众号：