trident/README.md

# Trident（三叉戟）

> Java Code Security Component （JAVA代码安全组件）

目前支持的功能如下：

1. URL白名单验证 （已完成）
2. checkSSRF （已完成）
3. checkReferer （未做）
4. csrfToken （未做）
5. xssEncode （未做）
6. getRealIP （未做）

## URL白名单验证

### 验证逻辑

1. 取URL一级域名
2. 判断是否在域名白名单列表内

### 验证代码

合法URL返回true，非法URL返回false。

```java
// URL白名单组件测试
checkURL urlCheck = new checkURL();
String[] urlWList = {"joychou.com", "joychou.me"};
Boolean ret = urlCheck.checkUrlWlist("http://test.joychou.org", urlWList);
System.out.println(ret);

```

## checkSSRF


### 验证逻辑

1. 取URL的Host
2. 取Host的IP
3. 判断是否是内网IP，是内网IP直接return，不再往下执行
4. 请求URL
5. 如果有跳转，取出跳转URL，执行第1步

### 验证代码

如果是内网IP，返回false，表示checkSSRF不通过，否则返回true，即合法返回true。
URL只支持HTTP协议。

```java
// SSRF组件测试
SSRF check = new SSRF();
String url = "http://dns_rebind.joychou.me";
ret = check.checkSSRF(url);
if (ret){
    String con = Request.Get(url).execute().returnContent().toString();
    System.out.println(con);
}
else {
    System.out.println("Bad boy. The url is illegal");
}
```

### 绕过姿势


以上代码在设置TTL为0的情况，可以用DNS Rebinding绕过。

但是，只要Java不设置TTL为0，该代码逻辑上不存在被绕过风险。

## 获取真实IP


用这份代码，必须保证，前面Proxy有把真实IP放到X-Real-IP头。
-												add readme

											
										
										
											2017-09-06 17:45:41 +08:00
+								# Trident（三叉戟）
-												init

init

											
										
										
											2017-09-05 17:11:03 +08:00
-												readme

											
										
										
											2017-09-05 17:18:14 +08:00
+								> Java Code Security Component （JAVA代码安全组件）
-												change main class to security

											
										
										
											2017-09-05 18:16:08 +08:00
-												add readme

											
										
										
											2017-09-06 11:44:17 +08:00
+								目前支持的功能如下：
-												readme

											
										
										
											2017-09-13 10:56:58 +08:00
+. URL白名单验证 （已完成）
 . checkSSRF （已完成）
 . checkReferer （未做）
 . csrfToken （未做）
 . xssEncode （未做）
 . getRealIP （未做）
-												add readme

											
										
										
											2017-09-06 11:44:17 +08:00
-												change main class to security

											
										
										
											2017-09-05 18:16:08 +08:00
+								## URL白名单验证
-												fix checkSSRF

											
										
										
											2017-09-05 21:12:38 +08:00
+								### 验证逻辑
 . 取URL一级域名
 . 判断是否在域名白名单列表内
 								### 验证代码
-												fix checkSSRF

											
										
										
											2017-09-05 21:16:05 +08:00
+								合法URL返回true，非法URL返回false。
-												change main class to security

											
										
										
											2017-09-05 18:16:08 +08:00
 								```java
-												add getRealIP

											
										
										
											2017-09-14 17:38:34 +08:00
+								// URL白名单组件测试
 								checkURL urlCheck = new checkURL();
-												bug fix

											
										
										
											2017-09-05 18:17:43 +08:00
+								String[] urlWList = {"joychou.com", "joychou.me"};
-												add getRealIP

											
										
										
											2017-09-14 17:38:34 +08:00
+								Boolean ret = urlCheck.checkUrlWlist("http://test.joychou.org", urlWList);
 								System.out.println(ret);
-												fix checkSSRF

											
										
										
											2017-09-05 21:12:38 +08:00
+								```
-												fix checkSSRF

											
										
										
											2017-09-05 22:37:05 +08:00
+								## checkSSRF
-												fix checkSSRF

											
										
										
											2017-09-05 21:12:38 +08:00
-												fix checkSSRF

											
										
										
											2017-09-05 21:16:05 +08:00
-												fix checkSSRF

											
										
										
											2017-09-05 21:12:38 +08:00
+								### 验证逻辑
-												fix checkSSRF

											
										
										
											2017-09-05 21:25:12 +08:00
+. 取URL的Host
 . 取Host的IP
-												fix checkSSRF

											
										
										
											2017-09-05 22:33:00 +08:00
+. 判断是否是内网IP，是内网IP直接return，不再往下执行
-												fix checkSSRF

											
										
										
											2017-09-05 21:12:38 +08:00
+. 请求URL
-												fix checkSSRF

											
										
										
											2017-09-05 22:33:00 +08:00
+. 如果有跳转，取出跳转URL，执行第1步
-												fix checkSSRF

											
										
										
											2017-09-05 21:12:38 +08:00
 								### 验证代码
-												fix checkSSRF

											
										
										
											2017-09-05 21:18:00 +08:00
+								如果是内网IP，返回false，表示checkSSRF不通过，否则返回true，即合法返回true。
-												fix checkSSRF

											
										
										
											2017-09-05 21:12:38 +08:00
+								URL只支持HTTP协议。
 								```java
-												add getRealIP

											
										
										
											2017-09-14 17:38:34 +08:00
+								// SSRF组件测试
 								SSRF check = new SSRF();
-												add readme

											
										
										
											2017-09-06 17:45:41 +08:00
+								String url = "http://dns_rebind.joychou.me";
-												add getRealIP

											
										
										
											2017-09-14 17:38:34 +08:00
+								ret = check.checkSSRF(url);
-												add readme

											
										
										
											2017-09-06 17:45:41 +08:00
+								if (ret){
-												add getRealIP

											
										
										
											2017-09-14 17:38:34 +08:00
+								    String con = Request.Get(url).execute().returnContent().toString();
 								    System.out.println(con);
-												add readme

											
										
										
											2017-09-06 17:45:41 +08:00
+								}
 								else {
 								    System.out.println("Bad boy. The url is illegal");
 								}
-												fix checkSSRF

											
										
										
											2017-09-05 21:12:38 +08:00
+								```
-												add readme

											
										
										
											2017-09-06 17:45:41 +08:00
 								### 绕过姿势
-												add getRealIP

											
										
										
											2017-09-14 17:38:34 +08:00
+								以上代码在设置TTL为0的情况，可以用DNS Rebinding绕过。
 								但是，只要Java不设置TTL为0，该代码逻辑上不存在被绕过风险。
 								## 获取真实IP
-												add readme

											
										
										
											2017-09-06 17:45:41 +08:00
-												add getRealIP

											
										
										
											2017-09-14 17:38:34 +08:00
+								用这份代码，必须保证，前面Proxy有把真实IP放到X-Real-IP头。
-												add readme

											
										
										
											2017-09-06 17:45:41 +08:00