我們很多人都會在網上購物買東西。但是,我們很多人都不清楚的是,很多電商網站會存在安全漏洞,比如拒絕服務漏洞問題。拒絕服務漏洞根據影響自低像高可分為:無效、服務降低、可自恢復的服務破壞、可人工恢復的服務破壞以及不可恢復的服務破壞。
詳細來說,如果攻擊能力不足以導致目標完全拒絕服務,但造成了目標的服務能力降低,這種效果稱之為服務降低。而當攻擊能力達到一定程度時,攻擊就可以使目標完全喪失服務能力,稱之為服務破壞。服務破壞又可以分為可恢復的服務破壞和不可恢復的服務破壞,就好像一些攻擊利用目標系統的漏洞對目標的文件系統進行破壞,導致系統的關鍵數據丟失,往往會導致不可恢復的服務破壞,即使系統重新提供服務,仍然無法恢復到破壞之前的服務狀態。由此可見,拒絕服務漏洞是那么可怕!
拒絕服務漏洞:Parse Double
拒絕服務漏洞是在一些遺留系統中仍然存在的老錯誤,在 Windows 與 Linux 的 JDK1.6_23 及更早 JDK1.5_27 及更早 JRE 1.4.2_29 及更早的版本中都存在這一漏洞。對于使用 Apache Tomcat 服務器的系統,若其 JRE 比較脆弱,未經授權的用戶完全可以耗盡其所有資源。
實現方式——實現 java.lang.Double.parseDouble() 及其相關方法中的漏洞會導致線程在解析 [2^(-1022) - 2^(-1075) : 2^(-1022) - 2^(-1076)] 范圍內的任一數字時造成線程懸停。這個缺陷可以用來進行 DOS(拒絕服務)攻擊。例如:下面的代碼使用了較為脆弱的方法。
Double d = Double.parseDouble(request.getParameter("d"));
攻擊者可以發送這樣的請求,其參數 d 在上面的范圍中,例如
“0.0222507385850720119e-00306” ,進而導致程序在處理該請求時懸停。
黑客新聞中的評論指出,BigDecimal.doubleValue 方法實際上只是將參數轉化為字符串,然后調用 Double.parseDouble 方法。因此,非常不幸,上面的機制只有在我放棄一些精度調用 Math.pow(10, exponent),而不使用 scaleByPowerOfTen 時會起作用。上面的版本,很遺憾,不起作用。
盡管這個錯誤已經在 JDK 1.6_24 及之后的版本得到修復,安全行業研究機構發現許多 Java 系統可能還在運行有風險的老版本。普遍的建議是升級系統或者單純地標準化清理后的字符串,將其傳入新的 java.math.BigDecimal() 方法,再將結果轉化為基本 double 類型。遺憾的是,BigDecimal 的構造函數也會調用麻煩的 Double.parseDouble 代碼,因此我們又回到了原點。最后,我們還可以嘗試下面的代碼,雖然不能說它高效,但是它通過了所有 Float 測試,不會像 Double.parseDouble 那樣拒絕服務。
public static double parseDouble(String value)
String normalString = normalizeDoubleString(value);
int offset = normalString.indexOf('E');
BigDecimal base;
int exponent;
if (offset == -1) {
base = new BigDecimal(value);
exponent = 0;
} else {
base = new BigDecimal(normalString.substring(0, offset));
exponent = Integer.parseInt(normalString.charAt(offset + 1) == '+' ?
normalString.substring(offset + 2)
normalString.substring(offset + 1));
}
return base.scaleByPowerOfTen(exponent).doubleValue();
}
這種方式雖說有一定效果,但效率并不是很高。因為國內還有不少電商網站正在使用老的 Java 版本,所以這種漏洞被攻擊還時有發生。
RASP:讓 Parse Double 漏洞無處藏身
根據 Gartner 的報告,超過 80% 的攻擊是以應用層為目標的,而大多數破壞活動是通過應用程序進行的。他們發現,軟件提供商對應用程序安全防護的投 入普遍不足。Gartner 的分析師兼研究員 Joseph Feiman 提出了「實時應用自我保護 (Runtime Application Self-Protection)」 的概念。
作為一種新型應用安全保護技術,RASP 將保護程序想疫苗一樣注入到應用程序和應用程序融為一體,能實時檢測和阻斷安全攻擊,使應用程序具備自我保護能力。比如說針對拒絕服務漏洞 Parse Double 來說, RASP 定制了響應的規則集和防護類,然后采用 java 字節碼技術,在被保護的類被加載進虛擬機之前,根據規則對被保護的類進行修改,將防護類織入到到被保護的類中,從而保證了我們服務器的安全。
OneRASP(實時應用自我保護)是一種基于云的應用程序自我保護服務, 可以為軟件產品提供實時保護,使其免受漏洞所累。
