cover_image

Java Web安全-代码审计(三)

凌天实验室 凌天实验室 2019年01月26日 02:28

点击上方“凌天实验室”可订阅哦!


上篇穿越捷径:

Java Web安全-代码审计(一)

Java Web安全-代码审计(二)

这是《Java Web安全-代码审计》春节前最后一讲


6
图片
Java代码审计-Checklist
图片

通常我喜欢把代码审计的方向分为业务层安全问题、代码实现服务架构安全问题,。


1. 业务层安全常见问题

业务层的安全问题集中在业务逻辑越权问题上,我们在代码审计的过程中尽可能的去理解系统的业务流程以便于发现隐藏在业务中的安全问题。

1.1 业务层中常见的安全问题Checklist

  1. 用户登陆、用户注册、找回密码等功能中密码信息未采用加密算法。

  2. 用户登陆、用户注册、找回密码等功能中未采用验证码验证码未做安全刷新(未刷新Session中验证码的值)导致的撞库、密码爆破漏洞。

  3. 找回密码逻辑问题(如:可直接跳过验证逻辑直接发包修改)。

  4. 手机、邮箱验证、找回密码等涉及到动态验证码等功能未限制验证码失败次数验证码有效期验证码长度过短导致的验证码爆破问题。

  5. 充值、付款等功能调用了第三方支付系统未正确校验接口(如:1分钱买IPhone X)。

  6. 后端采用了ORM框架更新操作时因处理不当导致可以更新用户表任意字段(如:用户注册、用户个人资料修改时可以直接创建管理员账号或其他越权修改操作)。

  7. 后端采用了ORM框架查询数据时因处理不当导致可以接收任何参数导致的越权查询、敏感信息查询等安全问题。

  8. 用户中心转账、修改个人资料、密码、退出登陆等功能未采用验证码或Token机制导致存在CSRF漏洞。

  9. 后端服务过于信任前端,重要的参数和业务逻辑只做了前端验证(如:文件上传功能的文件类型只在JS中验证、后端不从Session中获取用户ID、用户名而是直接接收客户端请求的参数导致的越权问题)。

  10. 用户身份信息认证逻辑问题(如:后台系统自动登陆时直接读取Cookie中的用户名、用户权限不做验证)。

  11. 重要接口采用ID自增、ID可预测并且云端未验证参数有效性导致的越权访问、信息泄漏问题(如:任意用户订单越权访问)。

  12. 条件竞争问题,某些关键业务(如:用户转账)不支持并发、分布式部署时不支持锁的操作等。

  13. 重要接口未限制请求频率,导致短信、邮件、电话、私信等信息轰炸。

  14. 敏感信息未保护,如Cookie中直接存储用户密码等重要信息。

  15. 弱加密算法、弱密钥,如勿把Base64当成数据加密方式、重要算法密钥采用弱口令如123456

  16. 后端无异常处理机制、未自定义50X错误页面,服务器异常导致敏感信息泄漏(如:数据库信息、网站绝对路径等)。

  17. 使用DWR框架开发时前后端不分漏洞(如:DWR直接调用数据库信息把用户登陆逻辑直接放到了前端来做)。


2. 代码实现常见问题

代码审计的核心是寻找代码中程序实现的安全问题,通常我们会把代码审计的重心放在SQL注入、文件上传、命令执行、任意文件读写等直接威胁到服务器安全的漏洞上,因为这一类的漏洞杀伤力极大也是最为致命的。


###2.1 代码实现中常见的安全问题Checklist

  1. 任意文件读写(文件上传、文件下载)、文件遍历文件删除文件重命名等漏洞

  2. SQL注入漏洞

  3. XXE(XML实体注入攻击)

  4. 表达式执行(SpEL、OGNL、MVEL2、EL等)

  5. 系统命令执行漏洞(ProcessBuilder)

  6. 反序列化攻击(ObjectInputStream、JSON、XML等)

  7. Java反射攻击

  8. SSRF攻击

2.1.1 Java 文件名空字节截断漏洞(%00 Null Bytes)

空字节截断漏洞漏洞在诸多编程语言中都存在,究其根本是Java在调用文件系统(C实现)读写文件时导致的漏洞,并不是Java本身的安全问题。不过好在高版本的JDK在处理文件时已经把空字节文件名进行了安全检测处理。

2013年9月10日发布的Java SE 7 Update 40修复了空字节截断这个历史遗留问题。此次更新在java.io.File类中添加了一个isInvalid方法,专门检测文件名中是否包含了空字节。

图片


修复的JDK版本所有跟文件名相关的操作都调用了isInvalid方法检测,防止空字节截断。

图片


修复前(Java SE 7 Update 25)和修复后(Java SE 7 Update 40)的对比会发现Java SE 7 Update 25中的java.io.File类中并未添加\u0000的检测。

图片


受空字节截断影响的JDK版本范围:JDK<1.7.40,单是JDK7于2011年07月28日发布至2013年09月10日发表Java SE 7 Update 40这两年多期间受影响的就有16个版本,值得注意的是JDK1.6虽然JDK7修复之后发布了数十个版本,但是并没有任何一个版本修复过这个问题,而JDK8发布时间在JDK7修复以后所以并不受此漏洞影响。

参考:

  1. JDK-8014846 : File and other classes in java.io do not handle embedded nulls properly。

  2. 维基百科-Java版本歷史

  3. Oracle Java 历史版本下载


2.1.2 测试Java写文件截断测试


测试类FileNullBytes.java:

import java.io.File;
import java.io.FileOutputStream;
import java.io.IOException;

/**
 * @author yz
 */
public class FileNullBytes {

	public static void main(String[] args) {
		try {
			String fileName = "/tmp/null-bytes.txt\u0000.jpg";
			FileOutputStream fos = new FileOutputStream(new File(fileName));
			fos.write("Test".getBytes());
			fos.flush();
			fos.close();
		} catch (IOException e) {
			e.printStackTrace();
		}
	}

}


使用JDK1.7.0.25测试成功截断文件名:

图片


使用JDK1.7.0.80测试写文件截断时抛出java.io.FileNotFoundException: Invalid file path异常:

图片


空字节截断利用场景

Java空字节截断利用场景最常见的利用场景就是文件上传时后端使用了endWith、正则使用如:.(jpg|png|gif)$验证文件名后缀且文件名最终原样保存,同理文件删除(delete)、获取文件路径(getCanonicalPath)、创建文件(createNewFile)、文件重命名(renameTo)等方法也可适用。

空字节截断修复方案

最简单直接的方式就是升级JDK,如果担心升级JDK出现兼容性问题可在文件操作时检测下文件名中是否包含空字节,如JDK的修复方式:fileName.indexOf('\u0000')即可。

2.1.2 任意文件读取漏洞

任意文件读取漏洞即因为没有验证请求的资源文件是否合法导致的,此类漏洞在Java中有着较高的几率出现,任意文件读取漏洞看似很简单,但是在这个问题上翻车的有不乏一些知名的中间件:WeblogicTomcatResin又或者是主流MVC框架:Spring MVCStruts2。所以在审计文件读取功能的时候要非常仔细,或许很容易就会有意想不到的收获!

任意文件读取示例代码file-read.jsp:

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ page import="java.io.ByteArrayOutputStream" %>
<%@ page import="java.io.File" %>
<%@ page import="java.io.FileInputStream" %>

<%
    File file = new File(request.getParameter("path"));
    FileInputStream fis = new FileInputStream(file);
    ByteArrayOutputStream baos = new ByteArrayOutputStream();
    byte[] b = new byte[1024];
    int a = -1;

    while ((a = fis.read(b)) != -1) {
        baos.write(b, 0, a);
    }

    out.write("<pre>" + new String(baos.toByteArray()) + "</pre>");

    fis.close();
%>


访问file-read.jsp文件即可读取任意文件:http://localhost:8080/file/file-read.jsp?path=/etc/passwd

图片


快速发现这类漏洞得方式其实也是非常简单的,在IDEA中的项目中重点搜下如下文件读取的类。

  1. JDK原始的java.io.FileInputStream

  2. JDK原始的java.io.RandomAccessFile

  3. Apache Commons IO提供的org.apache.commons.io.FileUtils

  4. JDK1.7新增的基于NIO非阻塞异步读取文件的java.nio.channels.AsynchronousFileChannel类。

  5. JDK1.7新增的基于NIO读取文件的java.nio.file.Files类。常用方法如:Files.readAllBytesFiles.readAllLines

如果仍没有什么发现可以搜索一下FileUtil很有可能用户会封装文件操作的工具类。

Java WebSevice

Web Service是一种基于SOAP协议实现的跨语言Web服务调用,在Java中Web Service有如下技术实现:Oracle JWSApache Axis1、2XFireApache CXFJBossWS

Axis1.4 配置

web.xml配置Axis1.4

图片


配置server-config.wsdd文件注册Web Service服务类和方法:

图片


FileService类,提供了文件读写接口:

图片


使用IDEA创建Web Service项目默认会创建管理Web Service的API:/servlet/AxisServlet/servicesSOAPMonitor/servlet/AdminServlet*.jws以及用监控Web Service的端口50015101


图片


访问Web ServiceFileService服务加上?wsdl参数可以看到FileService提供的服务方法和具体的参数信息。

图片


使用SOAP-UI调用Web Service接口示例:

图片


需要注意的是Web Service也是可以设置授权认证的,如实现了WS-SecurityWSS4J

图片


使用IDEA根据wsdl生成Web Service客户端代码:

图片


设置wsdl地址、包名:

图片


新建FileServiceTest类测试接口调用:

package org.javaweb.codereview.axis.client;

import java.net.URL;

/**
 * 文件Web Service服务测试
 *
 * @author yz
 */
public class FileServiceTest {

	public static void main(String[] args) {
		try {
			FileServiceService         fileService   = new FileServiceServiceLocator();
			URL                        webServiceUrl = new URL("http://localhost:8080/services/FileService");
			FileServiceSoapBindingStub soapService   = new FileServiceSoapBindingStub(webServiceUrl, fileService);

			String content = soapService.readFile("/etc/passwd");

			System.out.println(content);
		} catch (Exception e) {
			e.printStackTrace();
		}
	}

}


图片
图片
凌天
实验室
凌天实验室,是安百科技旗下针对应用安全领域进行攻防研究的专业技术团队,其核心成员来自原乌云创始团队及社区知名白帽子,团队专业性强、技术层次高且富有实战经验。实验室成立于2016年,发展至今团队成员已达35人,在应用安全领域深耕不辍,向网络安全行业顶尖水平攻防技术团队的方向夯实迈进。

微信扫一扫
关注该公众号

继续滑动看下一个
凌天实验室
向上滑动看下一个