摘要:让我们先看一个比较普遍的漏洞,拒绝服务漏洞,目前还有不少平台在采用较老的版本,所以此类漏洞还时有发生。拒绝服务漏洞是在一些遗留系统中仍然存在的老错误,在与的及更早及更早及更早的版本中都存在这一漏洞。这个缺陷可以用来进行拒绝服务攻击。
双十一的硝烟还未散尽,双十二就要来了。每逢节日期间,各大电商网站交易量暴涨,用户蜂拥而至抢购商品。那么这些电商平台的安全性如何?
据不完全统计,乌云平台自成立以来,已收集到的电商平台漏洞总数达 1169 个,其中 2015 年电商平台漏洞数为 414 个,相比于 2014 年,漏洞总数上涨了68.98%。对于安全工程师们来说,则需要加班加点保障网站的稳定性和安全性。数千亿的消费额,让所有的电商平台工程师,对安全问题不敢有一丝怠慢。
根据 Gartner 的报告,超过 80% 的攻击是以应用层为目标的,而大多数破坏活动是通过应用程序进行的。他们发现,软件提供商对应用程序安全防护的投 入普遍不足。Gartner 专家指出周界安全防护费用与应用程序安全防护费用之比为 23:1。在一个完美的模型中,开发人员的开发生命周期 ( SDLC ) 应当符合安全防护标准,从而开发出安全的软件。现实却并非如此,迭代开发和快速部署的流行,让电商平台正在经受重重考验。
让我们先看一个比较普遍的漏洞,拒绝服务漏洞:[Parse Double](),目前还有不少平台在采用较老的 Java 版本,所以此类漏洞还时有发生。
拒绝服务漏洞是在一些遗留系统中仍然存在的老错误,在 Windows 与 Linux 的 JDK1.6_23 及更早 JDK1.5_27 及更早 JRE 1.4.2_29 及更早的版本中都存在这一漏洞。对于使用 Apache Tomcat 服务器的系统,若其 JRE 比较脆弱,未经授权的用户完全可以耗尽其所有资源。
实现方式——实现 java.lang.Double.parseDouble() 及其相关方法中的漏洞会导致线程在解析[2^(-1022) - 2^(-1075) : 2^(-1022) - 2^(-1076)]范围内的任一数字时造成线程悬停。这个缺陷可以用来进行 DOS(拒绝服务)攻击。例如:下面的代码使用了较为脆弱的方法。
Double d = Double.parseDouble(request.getParameter("d"));
攻击者可以发送这样的请求,其参数 d 在上面的范围中,例如「 0.0222507385850720119e-00306」 ,进而导致程序在处理该请求时悬停。
黑客新闻中的评论指出,BigDecimal.doubleValue 方法实际上只是将参数转化为字符串,然后调用 Double.parseDouble 方法。因此,非常不幸,上面的机制只有在我放弃一些精度调用 Math.pow(10, exponent) ,而不使用 scaleByPowerOfTen 时会起作用。上面的版本,很遗憾,不起作用。
尽管这个错误已经在 JDK 1.6_24 及之后的版本得到修复,安全行业研究机构发现许多 Java 系统可能还在运行有风险的老版本。普遍的建议是升级系统或者单纯地标准化清理后的字符串,将其传入新的 java.math.BigDecimal() 方法,再将结果转化为基本 double 类型。遗憾的是,BigDecimal 的构造函数也会调用麻烦的 Double.parseDouble 代码,因此我们又回到了原点。最后,我们还可以尝试下面的代码,虽然不能说它高效,但是它通过了所有 Float 测试,不会像 Double.parseDouble 那样拒绝服务。
public static double parseDouble(String value) {
String normalString = normalizeDoubleString(value);
int offset = normalString.indexOf("E");
BigDecimal base;
int exponent;
if (offset == -1) {
base = new BigDecimal(value);
exponent = 0;
} else {
base = new BigDecimal(normalString.substring(0, offset));
exponent = Integer.parseInt(normalString.charAt(offset + 1) == "+" ?
normalString.substring(offset + 2)
normalString.substring(offset + 1));
}
return base.scaleByPowerOfTen(exponent).doubleValue();
}
这种方式虽说有一定效果,算不上聪明和高效。那么是否有更好的方式呢?
一种新型应用安全保护技术受到了较多的关注—— RASP(实时应用安全自我保护)。RASP 将保护程序想疫苗一样注入到应用程序和应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力。比如说针对拒绝服务漏洞 Parse Double 来说,RASP 定制了响应的规则集和防护类,然后采用 java 字节码技术,在被保护的类被加载进虚拟机之前,根据规则对被保护的类进行修改,将防护类织入到被保护的类中,从而保证了我们服务器的安全。
RASP 工作在运行环境时,像疫苗一样和应用程序融为一体,了解应用的上下文,从而可以实时彻底的保护应用程序,使应用程序免受漏洞所累。现在是广告时间啦!目前,国内只有一个产品OneASP拥有这个功能。大家可以访问一下网站和 DEMO ,体验一下我们强大的功能吧。双十二就要来了,希望各位电商平台能够拒绝向「漏洞」低头 !
OneRASP(实时应用自我保护)是一种基于云的应用程序自我保护服务, 可以为软件产品提供实时保护,使其免受漏洞所累。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/11157.html
摘要:爆出中等严重性安全漏洞拒绝服务漏洞。本文将进行漏洞解读和情景再现,并分享漏洞修复方案,用户来看应对之策了漏洞美国当地时间年月日,社区发布了拒绝服务的漏洞,即有写入权限的用户在写入资源时会导致过度消耗资源,此漏洞被评级为中等严重性。 Kubernetes爆出中等严重性安全漏洞——Kubernetes API Server拒绝服务漏洞CVE-2019-1002100。 本文将进行漏洞解读和...
摘要:前言上一篇中通过对阿里聚安全漏洞扫描腾讯金刚审计系统百度移动云测试中心以及在收费情况样本测试后的扫描时间对比和漏洞项专业对比后,本篇将以各个厂商的扫描能力作为分析维度展开。表示扫描结果正确,表示扫描结果错误。 前言 上一篇中通过对阿里聚安全[1]、360App 漏洞扫描[2]、腾讯金刚审计系统[3]、百度移动云测试中心[4]以及AppRisk Scanner[5] 在收费情况、样本测试...
摘要:前言上一篇中通过对阿里聚安全漏洞扫描腾讯金刚审计系统百度移动云测试中心以及在收费情况样本测试后的扫描时间对比和漏洞项专业对比后,本篇将以各个厂商的扫描能力作为分析维度展开。表示扫描结果正确,表示扫描结果错误。 前言 上一篇中通过对阿里聚安全[1]、360App 漏洞扫描[2]、腾讯金刚审计系统[3]、百度移动云测试中心[4]以及AppRisk Scanner[5] 在收费情况、样本测试...
阅读 1021·2021-11-25 09:43
阅读 1234·2021-09-26 09:55
阅读 1997·2021-09-10 11:20
阅读 3153·2019-08-30 15:55
阅读 1304·2019-08-29 13:58
阅读 989·2019-08-29 12:36
阅读 2227·2019-08-29 11:18
阅读 3288·2019-08-26 11:47
