转载

如何从代码层防御10大安全威胁中的 Xpath Injection?

普遍性和可检测性:

Xpath 注入是OWASP TOP10 安全威胁中 A1 Injection 中的一种,注入漏洞发生在应用程序将不可信的数据发送到解释器时。虽然注入漏洞很容易通过审查代码发现,但是却不容易在测试中发现。

影响严重:

注入能导致数据丢失或数据破坏、缺乏可审计性或者是拒绝服务。注入漏洞有时候甚至能导致完全主机接管。

从代码层次如何防御:

首先我们先来看一下在 Java 中引用 xpath 需要用的 lib 库:

  • javax.xml.xpath
  • org.jdom.xpath
  • org.jdom2.xpath等

那么xpath注入是从哪些途径进入到代码逻辑的呢?大家仔细思考一下无外乎三个途径: cookieheaderrequest parameters/input 。如果我们能对这三个注入源头进行严格得入参检查是否就能够防御绝大部分的注入攻击了呢?

答案是可以防御大部分注入攻击,下面我们就一起来看一下如何进行有效得进行入参检查: 我们将入参都转化为 Map 对象, Map<K, Collection<V>> asMap() ;

然后通过CheckMap( finnal Map<String, String> params )方法,检查入参是否合法。

下面我们来实现这个CheckMap内部方法:

1. 通过遍历检查Map中key得合法性

    for (final String key : params.keySet()) {         if (this.checkString(key)) {             return true;         }

2.检查每一个 key 对应得 value 得合法性:

  final Collection<String> coll = (Collection<String>)params.get((Object)key);         for (final String input : coll) {             if (this.checkString(input)) {                 return true;             }         }

做完这些就是细节方面得检测了,具体得就是 checkString 如何实现。笔者暂时能想到认为一个入参是 xpath 得检测条件大概有以下几点:

private boolean checkString(final String input) {     return null != input && input.length() > 1 && (this.parser.IsOutBoundary(input) || (-1 != input.indexOf(39) && (this.parser.IsOutBoundary(input.replace("'", "''")) || this.parser.IsOutBoundary(input.replace("'", "//'")))) || (-1 != input.indexOf(34) && (this.parser.IsOutBoundary(input.replace("/"", "/"/"")) || this.parser.IsOutBoundary(input.replace("/"", "///"")))) || this.parser.IsQuoteUnbalanced(input)); }

通过查 ASCII 码表我们知道39对应“'”,34对应“"”;所以有了检测条件

-1!=input.indexOf(39)&&(this.parser.IsOutBoundary(input.replace("'","''") -1!=input.indexOf(34)&& this.parser.IsOutBoundary(input.replace("/"", "/"/""))

上述检测条件中用到两个关键方法 IsOutBoundaryIsQuoteUnbalance 

public boolean IsOutBoundary(String input) {     int offset = 0;     if (null == input || input.length() <= 1) {         return false;     }     input = input.toLowerCase();     while (true) {         final int x = this.getRawValue().indexOf(input, offset);         final int y = x + input.length();         if (-1 == x) {             return false;         }         final int ceil = this.getCeiling(this.boundaries, x + 1);         if (-1 != ceil && ceil < y) {             return true;         }         offset = y;     } }  public boolean IsQuoteUnbalanced(String input) {     input = input.toLowerCase();     return this.getRawValue().contains(input) && this.stack.size() > 0 && input.indexOf(this.stack.peek()) != -1; }   public String getRawValue() {         return this.input;     }   private int getCeiling(final List<Integer> boundaries, final int value) {     for (final int x : boundaries) {         if (x >= value) {             return x;         }     }     return -1; }
漏洞攻击示例

看完代码是如何检查得我们来一个真真正正 Xpath 注入的示例;来检验一下我们代码是都有效。

WebGoat 是 OWASP 推出得一款开源的含有大量漏洞攻击的应用,在 Github 上可以直接搜到源码。

*我们找到 Xpath Injection 得 lession * ,如下图:

如何从代码层防御10大安全威胁中的 Xpath Injection?

hints提示我们攻击的入参:

Try username: Smith' or 1=1 or 'a'='a and a password: anything

点击 Submit 之后神奇得事情出现了!

如何从代码层防御10大安全威胁中的 Xpath Injection?

面对这样得一种攻击那么我们该如何防御呢?如果对代码感兴趣得同学可以把 WebGoat 得源码 down 下来;然后将上面得入参检测得方法封装一下嵌入到 WebGoat 得源码中,然后我们再攻击一下,那么接下来会发生什么样的事情呢?

Xpath 查询失败了,并没有返回任何结果,攻击被拦截之后,前端页面没有渲染任何东西。由此可见入参检查在注入类得漏洞防御中可以起到立竿见影得作用。

如何从代码层防御10大安全威胁中的 Xpath Injection?

Xpath 查询失败了,并没有返回任何结果,攻击被拦截之后,前端页面没有渲染任何东西。由此可见入参检查在注入类得漏洞防御中可以起到立竿见影得作用。

参考文献:

[1] OWASP TOP10-2013 release

[2] ASCII(wikipedia)

[3] WebGoat

本文系OneAPM 架构师吕龙涛原创文章。如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。 OneASP 自适应安全平台集成了预测、预防、检测和响应的能力,为您提供精准、持续、可视化的安全防护。想阅读更多技术文章,请访问OneAPM 官方技术博客

正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Java设计模式 Jenkins进阶系列 openfire参考指南 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Hive教程 ANTLR教程 Ant教程 java实例教程 SpringCloud Elastic-Job-Lite XStream教程 深入浅出MyBatis Hazelcast教程 ibaties教程 SVN教程 rabittmq教程 Hadoop教程 solr教程 WebService CXF学习 springcloud-demo JPA教程 ActiveMQ中文指南 Java内存模型 java-demo dubbo教程 Linux入门视频教程
近期评论
  1. 1 Spring Cloud Circuit Breaker快速入门Demo
  2. 2 Spring Cloud Bus快速入门Demo
  3. 3 Spring Cloud Config快速入门Demo
  4. 4 Spring Cloud Function快速入门Demo
  5. 5 SSPanel-Uim搭建教程 2023年全新定制版主题-解决老版本命令失效问题
  6. 6 Spring Boot集成Milvus和deeplearning4j实现图搜图功能
  7. 7 Spring Boot集成Aviator实现参数校验
  8. 8 ACME自动申请免费的通配符https域名证书
  9. 9 wordpress 数据库和文件优化
  10. 10 CentOS安装Docker与Docker-Compose
网站信息
  • 文章总数:82,696 篇
  • 文件总数:284,257 个
  • 标签总数:2,380 个
  • 分类总数:84 个
  • 留言数量:2,560 条
  • 在线人数:654 人
  • 运行天数:4,393天
  • 最后更新:2024年11月06日00点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG