深圳 网站 设计,电子商务专业论文选题,做代理记账网站,网站建设策划 流程图前言 2009年9月Spring 3.0 RC1发布后#xff0c;Spring就引入了SpEL#xff08;Spring Expression Language#xff09;。对于开发者而言#xff0c;引入新的工具显然是令人兴奋的#xff0c;但是对于运维人员#xff0c;也许是噩耗的开始。类比Struts 2框架#xff0c;… 前言 2009年9月Spring 3.0 RC1发布后Spring就引入了SpELSpring Expression Language。对于开发者而言引入新的工具显然是令人兴奋的但是对于运维人员也许是噩耗的开始。类比Struts 2框架会发现绝大部分的安全漏洞都和ognl脱不了干系。尤其是远程命令执行漏洞占据了多少甲方乙方工程师的夜晚/周末这导致Struts 2越来越不受待见。 因此我们有理由相信Spring引入SpEL必然增加安全风险。事实上过去多个Spring CVE都与其相关如CVE-2017-8039、CVE-2017-4971、CVE-2016-5007、CVE-2016-4977等。 本文分析的CVE-2017-8046同样也与SpEL有关。如果急于查看自己的应用是否受影响和修复建议请查看官方公告或者跳至0x07漏洞修复。 Spring Data REST简介 Spring Data REST是Spring Data的一个子项目。关于Spring Data引用官方介绍如下 Spring Data’s mission is to provide a familiar and consistent, Spring-based programming model for data access while still retaining the special traits of the underlying data store. It makes it easy to use data access technologies, relational and non-relational databases, map-reduce frameworks, and cloud-based data services. This is an umbrella project which contains many subprojects that are specific to a given database. The projects are developed by working together with many of the companies and developers that are behind these exciting technologies. 一句话概括Spring Data是对数据访问的更高抽象。通过它开发者进一步从数据层解放出来更专注于业务逻辑。不管是关系型数据还是非关系型数据利用相应接口开发者可以使用非常简单的代码构建对数据的访问当然Spring Data还有很多特性和功能感兴趣的可参考官方文档。 回过头看Spring Data REST它是一个构建在Spring Data之上为了帮助开发者更加容易地开发REST风格的Web服务官方声称完成demo只需15分钟。 官方提供的Demo 参照官方文档笔者使用Maven构建Spring-boot应用数据库为H2 Database。 1) 添加依赖pom.xml内容来自官方示例文档。 2) 编写实体类Person。 //import 省略Entity
public class Person {IdGeneratedValue(strategy GenerationType.AUTO)private long id; //自增主健private String firstName;private String lastName;
//getter setter省略
}3) 编写接口。 //import 省略//在/people处创建RESTful入口点
RepositoryRestResource(collectionResourceRel people, path people)
public interface PersonRepository extends PagingAndSortingRepositoryPerson, Long {
//接口继承了PagingAndSortingRepository此接口封装了对Person实体类的CURD并且具备分页和排序
}4) Spring Boot执行入口。 //import 省略SpringBootApplication
public class Application {public static void main(String[] args) {SpringApplication.run(Application.class, args);}
}5) 编译运行。 数据操作测试 1测试是否成功 2使用POST方法添加一个数据 3查看新加入的数据 4使用PATCH请求方法更新数据 对于JSON Patch请求方法IETF制定了标准RFC6902。JSON Patch方法提交的数据必须包含一个path成员用于定位数据同时还必须包含op成员可选值如下 op含义add添加数据remove删除数据replace修改数据move移动数据copy拷贝数据test测试给定数据与指定位置数据是否相等比如对于上面添加的Person数据修改其lastName属性请求数据如下 [{ “op”: “replace”, “path”: “/lastName”, “value”: “Zhang” }] 有两点需要注意 ① 必须将Content-Type指定为application/json-patchjson。 ② 请求数据必须是json数组。 漏洞分析 漏洞分析涉及的源码比较多为了减少歧义和减小篇幅约定两点 ① 代码以片段[a-z]标识 ② 提到某个方法不会包含完整的方法签名仅提供方法名需联系上下文识别。 1根据官方公告结合GitHub 的commit猜测漏洞出在path参数值的处理上。尝试提交非法的path参数值查看异常堆栈信息 at org.springframework.expression.spel.ast.MethodReference$MethodValueRef.setValue(MethodReference.java:355) ~[spring-expression-4.3.10.RELEASE.jar:4.3.10.RELEASE]at org.springframework.expression.spel.ast.CompoundExpression.setValue(CompoundExpression.java:95) ~[spring-expression-4.3.10.RELEASE.jar:4.3.10.RELEASE]at org.springframework.expression.spel.standard.SpelExpression.setValue(SpelExpression.java:438) ~[spring-expression-4.3.10.RELEASE.jar:4.3.10.RELEASE]at org.springframework.data.rest.webmvc.json.patch.PatchOperation.setValueOnTarget(PatchOperation.java:167) ~[spring-data-rest-webmvc-2.6.6.RELEASE.jar:na]at org.springframework.data.rest.webmvc.json.patch.ReplaceOperation.perform(ReplaceOperation.java:41) ~[spring-data-rest-webmvc-2.6.6.RELEASE.jar:na]at org.springframework.data.rest.webmvc.json.patch.Patch.apply(Patch.java:64) ~[spring-data-rest-webmvc-2.6.6.RELEASE.jar:na]at org.springframework.data.rest.webmvc.config.JsonPatchHandler.applyPatch(JsonPatchHandler.java:91) ~[spring-data-rest-webmvc-2.6.6.RELEASE.jar:na]at org.springframework.data.rest.webmvc.config.JsonPatchHandler.apply(JsonPatchHandler.java:83) ~[spring-data-rest-webmvc-2.6.6.RELEASE.jar:na]at org.springframework.data.rest.webmvc.config.PersistentEntityResourceHandlerMethodArgumentResolver.readPatch(PersistentEntityResourceHandlerMethodArgumentResolver.java:206) ~[spring-data-rest-webmvc-2.6.6.RELEASE.jar:na]at org.springframework.data.rest.webmvc.config.PersistentEntityResourceHandlerMethodArgumentResolver.read(PersistentEntityResourceHandlerMethodArgumentResolver.java:184) ~[spring-data-rest-webmvc-2.6.6.RELEASE.jar:na]at org.springframework.data.rest.webmvc.config.PersistentEntityResourceHandlerMethodArgumentResolver.resolveArgument(PersistentEntityResourceHandlerMethodArgumentResolver.java:141) ~[spring-data-rest-webmvc-2.6.6.RELEASE.jar:na]at org.springframework.web.method.support.HandlerMethodArgumentResolverComposite.resolveArgument(HandlerMethodArgumentResolverComposite.java:121) ~[spring-web-4.3.10.RELEASE.jar:4.3.10.RELEASE]at org.springframework.web.method.support.InvocableHandlerMethod.getMethodArgumentValues(InvocableHandlerMethod.java:158) ~[spring-web-4.3.10.RELEASE.jar:4.3.10.RELEASE]at org.springframework.web.method.support.InvocableHandlerMethod.invokeForRequest(InvocableHandlerMethod.java:128) ~[spring-web-4.3.10.RELEASE.jar:4.3.10.RELEASE]at org.springframework.web.servlet.mvc.method.annotation.ServletInvocableHandlerMethod.invokeAndHandle(ServletInvocableHandlerMethod.java:97) ~[spring-webmvc-4.3.10.RELEASE.jar:4.3.10.RELEASE]at org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.invokeHandlerMethod(RequestMappingHandlerAdapter.java:827) ~[spring-webmvc-4.3.10.RELEASE.jar:4.3.10.RELEASE]at org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.handleInternal(RequestMappingHandlerAdapter.java:738) ~[spring-webmvc-4.3.10.RELEASE.jar:4.3.10.RELEASE]at org.springframework.web.servlet.mvc.method.AbstractHandlerMethodAdapter.handle(AbstractHandlerMethodAdapter.java:85) ~[spring-webmvc-4.3.10.RELEASE.jar:4.3.10.RELEASE]at org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:967) ~[spring-webmvc-4.3.10.RELEASE.jar:4.3.10.RELEASE]//省略部分堆栈信息2既然是Patch请求方法我们从org.springframework.data.rest.webmvc.config.JsonPatchHandler.apply(JsonPatchHandler.java:83)入手分析。 //片段a:public T T apply(IncomingRequest request, T target) throws Exception {Assert.notNull(request, Request must not be null!);Assert.isTrue(request.isPatchRequest(), Cannot handle non-PATCH request!);Assert.notNull(target, Target must not be null!);if (request.isJsonPatchRequest()) {//return applyPatch(request.getBody(), target);} else {return applyMergePatch(request.getBody(), target);}}片段a中的if判断决定了请求Content-Type须指定application/json-patchjson。 //片段b:
public boolean isJsonPatchRequest() {return isPatchRequest() //是否是PATCH请求方法//Content-Type是否与application/json-patchjson兼容 RestMediaTypes.JSON_PATCH_JSON.isCompatibleWith(contentType);}片段a中的if判断为true的话进入applyPatch方法 //片段c:
SuppressWarnings(unchecked)
T T applyPatch(InputStream source, T target) throws Exception {return getPatchOperations(source).apply(target, (ClassT) target.getClass());
}跟进getPatchOperations方法 //片段d:
private Patch getPatchOperations(InputStream source) {try {return new JsonPatchPatchConverter(mapper).convert(mapper.readTree(source));//通过Jackson 生成对应的对象实例} catch (Exception o_O) {throw new HttpMessageNotReadableException(String.format(Could not read PATCH operations! Expected %s!, RestMediaTypes.JSON_PATCH_JSON), o_O);}
}片段d通过Jackson实例化对象我们看看相关构造函数: //片段e:
public Patch(ListPatchOperation operations) {this.operations operations;
}
//片段f:
public PatchOperation(String op, String path, Object value) {this.op op;this.path path;this.value value;this.spelExpression pathToExpression(path);
}对于PatchOperation对象成员spelExpression根据path转化而来这一点对于PoC构造非常重要笔者一开始就坑在这里。 pathToExpression完整的调用链比较长影响PoC的构造关键在于下面两个方法。 //片段g:
private static String pathToSpEL(String path) {return pathNodesToSpEL(path.split(\\/));//跟据斜杠分割成字符数组
}
//片段h:
private static String pathNodesToSpEL(String[] pathNodes) {StringBuilder spelBuilder new StringBuilder();for (int i 0; i pathNodes.length; i) {String pathNode pathNodes[i];if (pathNode.length() 0) {continue;}if (APPEND_CHARACTERS.contains(pathNode)) {if (spelBuilder.length() 0) {spelBuilder.append(.);}spelBuilder.append($[true]);continue;}try {int index Integer.parseInt(pathNode);spelBuilder.append([).append(index).append(]);} catch (NumberFormatException e) {if (spelBuilder.length() 0) {//使用.拼接字符数组//如笔者尝试执行touch /tmp/filespelBuilder.append(.); //并未在/tmp中发现file文件后来发现应用目录中多了隐藏文件} //原因就在此处spelBuilder.append(pathNode);}}String spel spelBuilder.toString();if (spel.length() 0) {spel #this;}return spel;
}回到片段C继续看apply //片段i:
public T T apply(T in, ClassT type) throws PatchException {for (PatchOperation operation : operations) {operation.perform(in, type);}return in;
}在RFC6902的标准中一次PATCH请求允许多个操作比如 [{ op: test, path: /a/b/c, value: foo },{ op: remove, path: /a/b/c },{ op: add, path: /a/b/c, value: [ foo, bar ] }
]对于上面的请求数据将会顺序执行test、remove、add操作当前操作的”文档”为上一次操作更新后的”文档”。 因此在代码片段i中循环每一个”操作”。假设我们提交了一个PATCH请求op为replace我们接着看PatchOperation子类ReplaceOperation的perform方法 //片段j:
T void perform(Object target, ClassT type) {setValueOnTarget(target, evaluateValueFromTarget(target, type));
}调用父类PatchOperation的evaluateValueFromTarget方法 //片段k:
protected T Object evaluateValueFromTarget(Object targetObject, ClassT entityType) {return value instanceof LateObjectEvaluator? ((LateObjectEvaluator) value).evaluate(spelExpression.getValueType(targetObject)) : value;
}官方在evaluateValueFromTarget方法中打了补丁补丁的修复逻辑是检查路径是否合法如果不合法则会抛出PatchException。完整的补丁信息可以从GitHub看对应commit。 //片段l:protected T Object evaluateValueFromTarget(Object targetObject, ClassT entityType) {
- return value instanceof LateObjectEvaluator
- ? ((LateObjectEvaluator) value).evaluate(spelExpression.getValueType(targetObject)) : value;verifyPath(entityType);return evaluate(spelExpression.getValueType(targetObject));} protected final T Object evaluate(ClassT type) {return value instanceof LateObjectEvaluator ? ((LateObjectEvaluator) value).evaluate(type) : value;} /*** Verifies that the current path is available on the given type.* * param type must not be {literal null}.* return the {link PropertyPath} representing the path. Empty if the path only consists of index lookups or append* characters.*/ protected final OptionalPropertyPath verifyPath(Class? type) {String pathSource Arrays.stream(path.split(/))//.filter(it - !it.matches(\\d)) // no digits.filter(it - !it.equals(-)) // no last elements.filter(it - !it.isEmpty()) //.collect(Collectors.joining(.));if (pathSource.isEmpty()) {return Optional.empty();}try {return Optional.of(PropertyPath.from(pathSource, type)); //根据对象和路径获取PropertyPath} catch (PropertyReferenceException o_O) {throw new PatchException(String.format(INVALID_PATH_REFERENCE, pathSource, type, path), o_O);}}回过头看代码片段jsetValueOnTarget再往后走就是SpEL解析了。由于SpEL非该漏洞核心本文不再深入。 漏洞复现 明白了漏洞原理之后复现就非常简单了。注入表达式没有太多限制。 漏洞修复 漏洞在9月21日披露虽然定位为严重。但是笔者持续跟踪并未发现国内哪些站点在跟进不排除攻击者利用此漏洞攻击未打补丁的受影响应用。 漏洞信息来源于官方公告。 值得注意的是本次漏洞问题出现在 spring-data-rest-webmvc中。由于Spring 提供内建的依赖解决因此可能并不会在依赖配置文件如Maven的pom.xml显式看到 spring-data-rest-webmv的依赖配置这就是为什么官方公告还提及Spring Boot和Spring Data的缘故。 漏洞触发条件网站使用Spring Data REST提供REST Web服务版本在受影响范围内。 修复建议及时升级。 参考链接 https://pivotal.io/security/cve-2017-8046https://github.com/spring-projects/spring-data-rest/commit/8f269e28fe8038a6c60f31a1c36cfda04795ab45http://projects.spring.io/spring-data-rest/https://tools.ietf.org/html/rfc6902
