一键在 Manus 中运行任何 Skill

java-framework-audit

星标1,493

分支229

更新时间2026年5月21日 07:42

Java 框架特定漏洞源码审计。当在 Java 白盒审计中需要检测框架层面的已知漏洞模式时触发。覆盖 5 大框架/组件: Spring 全家桶(SpEL/Actuator/参数绑定/Spring Cloud Gateway)、 Struts2(OGNL/ActionMapping/Content-Type 解析)、Shiro(RememberMe 反序列化/URI 绕过)、 FastJSON/Jackson/Gson(反序列化 autotype/polymorphic)、MyBatis(${} 注入/动态 SQL)。这些是 Java 生态中出现频率最高、影响面最广的框架级漏洞。

安装

用 Codex 或 Claude 帮你安装复制这段 Prompt，粘贴到 Codex、Claude 或其他助手里，让它检查 Skill 页面并帮你完成安装。

在 Manus 中运行

来源

wgpsec

wgpsec/AboutSecurity

打开 GitHub 仓库查看创作者相关仓库

下载

在 Manus 中运行

相关职业SOC

基于 SOC 职业分类

信息安全分析师计算机与数学类职业·SOC 15-1212

文件资源管理器

2 个文件

SKILL.md

readonly

同仓库更多 Skills

同仓库

azure-pentesting

wgpsec/AboutSecurity

Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产（Blob Storage/App Service/Azure VM/Azure Functions）、获取 Azure 凭据（Service Principal/Managed Identity/Access Token）、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面

2026-06-211.5k

gcp-exploit

wgpsec/AboutSecurity

GCP 云环境攻击方法论。当目标使用 Google Cloud Platform、发现 GCP Service Account/Metadata/Storage Bucket 时使用。覆盖 Metadata 服务利用、Service Account 密钥窃取、IAM 提权、GKE 逃逸、Storage Bucket 枚举

2026-05-211.5k

gcp-pentesting

wgpsec/AboutSecurity

GCP 云环境渗透测试总体方法论。当目标使用 Google Cloud Platform、发现 GCP 相关资产（GCS Bucket/Compute Engine/Cloud Functions/GKE）、获取 GCP 凭据（Service Account Key/OAuth Token/Metadata Token）、或需要对 GCP 环境进行安全评估时使用。提供从未授权枚举到提权、后渗透、GCP-to-Workspace 穿越的全流程决策树。覆盖 37+ GCP 服务攻击面

2026-05-211.5k

serverless-attack

wgpsec/AboutSecurity

Serverless/云函数安全测试与攻击。当目标涉及 AWS Lambda、腾讯云 SCF、阿里云 FC、Azure Functions 等 Serverless 服务时使用。当发现 API Gateway 后端是 Lambda/SCF 触发、通过 cloud-aksk-exploit 获取到函数操作权限、或需要分析云函数代码中的漏洞时使用。覆盖事件注入（HTTP/OSS/消息队列触发器参数篡改）、环境变量泄露（硬编码凭据提取）、函数代码注入/覆盖（UpdateFunctionCode）、Runtime 利用（/tmp 写入/Layer 劫持/依赖投毒）、临时凭据滥用。发现任何 Lambda/SCF/云函数、API Gateway、或 Serverless 架构时都应使用此 skill

2026-05-211.5k

tencent-pentesting

wgpsec/AboutSecurity

腾讯云渗透测试方法论。当目标使用腾讯云服务、发现 cos.*.myqcloud.com 资产、获取腾讯云 SecretId/SecretKey、在 CVM 实例内可访问 metadata.tencentyun.com 元数据、或需要对腾讯云 CAM/CVM/COS/TencentDB/TKE/SCF 等服务进行安全评估时使用。覆盖 CAM 提权、CVM 接管、COS 对象存储利用、TencentDB 数据库攻击、TKE 容器集群、SCF 云函数、CLB 负载均衡、CLS 日志服务、KMS 密钥管理

2026-05-211.5k

java-injection-audit

wgpsec/AboutSecurity

Java 源码注入类漏洞审计。当在 Java 白盒审计中需要检测注入类漏洞时触发。覆盖 6 种注入: SQL 注入(JDBC/MyBatis/Hibernate/JPA)、命令注入(Runtime.exec/ProcessBuilder)、 SSRF(HttpURLConnection/OkHttp/RestTemplate)、LDAP 注入、SpEL/OGNL 表达式注入、NoSQL 注入(MongoDB)。需要 java-audit-pipeline 提供的数据流证据(EVID_*)作为审计输入。

2026-05-211.5k

name	java-framework-audit
description	Java 框架特定漏洞源码审计。当在 Java 白盒审计中需要检测框架层面的已知漏洞模式时触发。覆盖 5 大框架/组件: Spring 全家桶(SpEL/Actuator/参数绑定/Spring Cloud Gateway)、 Struts2(OGNL/ActionMapping/Content-Type 解析)、Shiro(RememberMe 反序列化/URI 绕过)、 FastJSON/Jackson/Gson(反序列化 autotype/polymorphic)、MyBatis(${} 注入/动态 SQL)。这些是 Java 生态中出现频率最高、影响面最广的框架级漏洞。
metadata	{"tags":"spring, struts2, shiro, fastjson, jackson, mybatis, ognl, spel, actuator, rememberme, spring cloud, 框架漏洞, java source audit","category":"code-audit"}

Java 框架特定漏洞源码审计

框架漏洞的本质分两类: 框架自身缺陷（已知 CVE，升级即修）和框架误用（开发者对框架安全机制理解不足导致的配置/编码缺陷）。本 skill 关注的核心问题是: 被审计项目的代码如何触发这些已知的框架缺陷模式。

深入参考

5 大框架/组件漏洞模式详解 → references/framework-vulns.md

5 大框架/组件速查表

框架/组件	核心风险	首要搜索关键字	典型严重度
Spring 全家桶	SpEL 注入 / Actuator 暴露 / Mass Assignment	`@Value` `SpelExpression` `Actuator` `management.endpoints`	高-严重
Struts2	OGNL 注入 / Content-Type 解析	`struts.xml` `ActionSupport` `ValueStack` `ognl`	严重
Shiro	RememberMe 反序列化 / URI 绕过	`setCipherKey` `rememberMe` `ShiroFilterChain`	严重
FastJSON/Jackson/Gson	反序列化 autotype / polymorphic	`JSON.parseObject` `JSON.parse` `enableDefaultTyping` `@JsonTypeInfo`	严重
MyBatis	`${}` SQL 拼接注入	`${` 在 Mapper XML / `@Select` `@Update` 注解	高

Spring 全家桶审计要点

Spring MVC 参数绑定（Mass Assignment）: @ModelAttribute 会自动将请求参数绑定到对象字段。若实体类含 role/isAdmin/price 等敏感字段且未使用 @InitBinder + WebDataBinder.setAllowedFields() 做白名单，攻击者可通过添加额外参数覆写敏感属性
Spring Boot Actuator: 检查 management.endpoints.web.exposure.include 配置。高危端点: /actuator/env（泄露配置 + restart RCE）、/actuator/jolokia（JNDI 注入）、/actuator/heapdump（堆转储提取密钥/密码）、/actuator/gateway/routes（Gateway 路由注入）
SpEL 注入: 5 种常见注入点 — @Value("#{externInput}")、@Cacheable(key="#root.args[0]") 拼接用户输入、@PreAuthorize / @PostAuthorize 表达式拼接、ExpressionParser.parseExpression() 直接解析外部输入、Spring Data @Query 中的 SpEL ?#{...}
Spring Cloud Gateway: CVE-2022-22947 类型漏洞，路由 Predicate/Filter 配置中嵌入 SpEL 表达式，通过 Actuator /gateway/routes 动态注册恶意路由
Spring Security 配置陷阱: antMatchers 顺序错误（宽松规则在前覆盖严格规则）、.permitAll() 范围过大、路径匹配与 Servlet 路径不一致（如尾部斜杠 /admin vs /admin/）

Struts2 审计要点

OGNL 注入: 用户可控数据进入 OGNL 表达式求值。参数名/值通过 ParametersInterceptor 进入 ValueStack，若 SecurityMemberAccess 限制不严，可执行任意代码
Content-Type 解析: Jakarta Multipart 解析器对异常 Content-Type 的错误处理导致 OGNL 执行（S2-045），Content-Disposition 的 filename 字段同理（S2-046）
ActionMapping 参数前缀: method:（调用任意 Action 方法）、redirect:/redirectAction:（OGNL 注入）。检查 struts.enable.DynamicMethodInvocation 和 struts.mapper.alwaysSelectFullNamespace
版本 CVE 映射: Struts 2.0.x~2.3.x 是高危区间，S2-001/005/009/012/013/015/016/019/032/033/037/045/046/048/052/053/057/059/061/062 均为远程代码执行级别

Shiro 审计要点

RememberMe 反序列化: Shiro 1.2.4 及之前版本使用硬编码 AES 密钥 kPH+bIxk5D2deZiIxcaaaA== 加密 RememberMe Cookie。即使升级后，若开发者使用自定义但可预测/泄露的密钥，风险依旧存在
URI 绕过: 分号截断 /admin/;.js 绕 Shiro 但被 Spring 正常路由、/..;/admin 路径穿越、双重 URL 编码、大小写混合绕 Filter。核心原因是 Shiro 的 URL 匹配与后端框架（Spring/Servlet）的解析规则不一致
版本 CVE: CVE-2016-4437（硬编码密钥）、CVE-2020-1957（/toLogin;/../admin 绕过）、CVE-2020-11989（双重编码）、CVE-2021-41303（路径标准化绕过）

FastJSON/Jackson/Gson 审计要点

FastJSON: JSON.parseObject(input) 或 JSON.parse(input) 默认支持 @type 字段指定反序列化类。autotype 黑名单随版本升级不断被绕过（1.2.24→1.2.47→1.2.68→1.2.80）。Feature.SupportNonPublicField 开启时可设置私有字段。1.2.83+ 引入 safeMode 彻底关闭 autotype
Jackson: ObjectMapper.enableDefaultTyping() 或 ObjectMapper.activateDefaultTyping() 开启全局多态反序列化，等同于全局 RCE 入口。字段级 @JsonTypeInfo(use=Id.CLASS) 或 @JsonTypeInfo(use=Id.MINIMAL_CLASS) 同样危险
Gson: 本身不支持多态反序列化，相对安全。但自定义 TypeAdapter / JsonDeserializer 中若使用 Class.forName 加载用户指定类名则引入风险
检测方法: 搜索 JSON.parseObject / JSON.parse（FastJSON）、enableDefaultTyping / activateDefaultTyping / @JsonTypeInfo（Jackson）、自定义 TypeAdapter（Gson）

MyBatis 审计要点

${} vs #{}: ${} 是字符串直接拼接（等同于 String.format），#{} 是预编译参数绑定。Mapper XML 和 @Select/@Update/@Delete/@Insert 注解中的 ${} 均为 SQL 注入入口
动态 SQL 中的 ${}: <if test="sort != null">ORDER BY ${sort}</if>、<where> 和 <foreach> 标签内的 ${} 使用同样危险
ORDER BY / LIKE / IN 安全写法: ORDER BY 无法使用 #{} 预编译，应对列名做白名单校验; LIKE 应改写为 LIKE CONCAT('%', #{keyword}, '%'); IN 应使用 <foreach collection="ids" item="id">#{id}</foreach>
两种入口: Mapper XML 文件（*Mapper.xml）和注解模式（@Select("SELECT * FROM ${table}")），两者都需要审计

java-framework-audit

Java 框架特定漏洞源码审计

深入参考

5 大框架/组件速查表

Spring 全家桶审计要点

Struts2 审计要点

Shiro 审计要点

FastJSON/Jackson/Gson 审计要点

MyBatis 审计要点

检测清单

Java 框架特定漏洞源码审计

深入参考

5 大框架/组件速查表

Spring 全家桶审计要点

Struts2 审计要点

Shiro 审计要点

FastJSON/Jackson/Gson 审计要点

MyBatis 审计要点

检测清单