代码审计的常见漏洞有哪些?如何结合审计方式高效排查?
代码审计
代码审计的核心漏洞集中在输入验证缺失、权限控制失效、危险函数滥用三大类,高效排查需结合自动化扫描与人工深度验证,优先聚焦高风险模块(如认证、数据操作功能)。以下结合实战方法论,分漏洞类型与审计策略解析:
一、高频漏洞类型及典型特征
1. 未授权访问漏洞
核心表现:
URL认证绕过:通过/;/admin、//admin等特殊路径绕过拦截器逻辑。
水平越权:普通用户通过修改ID访问他人数据(如/user/delete?id=1001未校验权限)。
垂直越权:低权限用户访问高权限接口(如普通用户调用/admin/exportData)。
关键特征:
拦截器/过滤器中仅校验路径前缀(如uri.startsWith("/admin")),未处理路径规范化差异。
2. 反序列化漏洞
核心表现:
Fastjson/Jackson组件:通过@type字段加载恶意类触发RCE。
Apache Commons Collections链:利用InvokerTransformer等构造执行链。
关键特征:
代码中存在ObjectInputStream.readObject()或未禁用autoTypeSupport 的JSON解析配置。
3. SQL注入漏洞
核心表现:
动态拼接SQL:MyBatis中使用${}而非#{}占位符。
未校验字段名:排序参数直接拼接(如ORDER BY ${orderField})。
关键特征:
用户输入未经白名单校验直接嵌入SQL语句,缺少参数化查询。
4. 逻辑类漏洞
核心表现:
并发缺陷:积分兑换、库存扣减等操作未加锁导致超发。
流程绕过:支付流程中跳过风控校验步骤。
关键特征:
人工审计易发现,自动化工具漏报率高(如未校验“新旧密码是否一致”)。
二、高效排查方法论:自动化+人工深度验证
1. 优先级划分策略
高危模块优先:
聚焦认证授权、数据操作、文件管理三大模块(占漏洞总量70%以上)。关键路径标记:
用IDE标记外部接口(如@RequestMapping注解方法)和危险函数(如Runtime.exec()),快速定位攻击面。
2. 双轨制审计流程
(1)自动化扫描:快速覆盖已知模式
工具选择:
基础漏洞:用Semgrep匹配高危代码模式(如sql = "SELECT * FROM user WHERE id=" + input)。
深度分析:CodeQL编写自定义规则,追踪用户输入到危险函数的完整数据流。
关键操作:
扫描后人工过滤误报,重点关注高危漏洞标记为“可利用” 的结果(如SQL注入需验证是否可控输入)。
(2)人工深度验证:突破工具盲区
数据流追踪法:
从用户输入点(如@RequestParam String id)逆向追踪至执行点,确认:是否经过有效过滤(如StringUtils.filterSQL(id))。
是否存在多层调用绕过(如参数经中间函数处理后仍被拼接)。
业务逻辑验证:
针对逻辑漏洞,模拟异常业务场景(如高并发请求积分兑换),验证是否存在竞态条件。
3. 漏洞验证关键技巧
未授权访问:
构造特殊URL路径(如/./admin、/admin%20)测试认证绕过,检查拦截器是否处理路径规范化。反序列化漏洞:
使用ysoserial生成测试payload,验证是否触发DNS请求或命令执行(避免直接执行危险命令)。SQL注入:
通过时间盲注(如1' AND SLEEP(5)--)验证漏洞可利用性,避免破坏测试数据。
三、避坑指南:提升审计效率的核心原则
1. 避免过度依赖工具
误报处理:
工具报告的漏洞需人工验证上下文(如eval()在沙箱环境中可能安全)。漏报补救:
对逻辑漏洞,结合业务流程图通读关键模块(如支付回调函数),而非仅依赖关键字搜索。
2. 聚焦高价值路径
关键输入点:
优先审计外部接口参数(如API请求体、URL路径),忽略内部调用参数(如工具生成的辅助方法)。高危函数链:
从Runtime.exec()出发,逆向追踪参数来源,确认是否来自用户输入(而非硬编码字符串)。
3. 修复建议必须可落地
精准定位:
报告需明确漏洞触发条件(如“当order参数含%20时绕过校验”)。修复方案分层:
紧急缓解:输入白名单过滤(如ORDER BY仅允许id,name,age)。
根本修复:改用预编译查询或重构权限校验逻辑。
代码审计的核心效率在于精准定位攻击面,而非全量扫描。优先通过接口排查法锁定高危模块,再结合危险方法溯源法验证漏洞可利用性。对SQL注入、未授权访问等高频漏洞,自动化工具可覆盖80%基础问题;但对逻辑漏洞和复杂利用链,必须人工验证数据流与业务上下文。企业若仅依赖工具报告,将遗漏30%以上真实风险,而聚焦关键路径的人工深度验证可将漏洞检出率提升至95%以上。
标签:代码审计、漏洞扫描