让 Parse Double 漏洞无处藏身 工程师们必备神器!

我们很多人都会在网上购物买东西。但是,我们很多人都不清楚的是,很多电商网站会存在安全漏洞,比如拒绝服务漏洞问题。拒绝服务漏洞根据影响自低像高可分为:无效、服务降低、可自恢复的服务破坏、可人工恢复的服务破坏以及不可恢复的服务破坏。

详细来说,如果攻击能力不足以导致目标完全拒绝服务,但造成了目标的服务能力降低,这种效果称之为服务降低。而当攻击能力达到一定程度时,攻击就可以使目标完全丧失服务能力,称之为服务破坏。服务破坏又可以分为可恢复的服务破坏和不可恢复的服务破坏,就好像一些攻击利用目标系统的漏洞对目标的文件系统进行破坏,导致系统的关键数据丢失,往往会导致不可恢复的服务破坏,即使系统重新提供服务,仍然无法恢复到破坏之前的服务状态。由此可见,拒绝服务漏洞是那么可怕!

拒绝服务漏洞:Parse Double

拒绝服务漏洞是在一些遗留系统中仍然存在的老错误,在 Windows 与 Linux 的 JDK1.623 及更早 JDK1.527 及更早 JRE 1.4.2_29 及更早的版本中都存在这一漏洞。对于使用 Apache Tomcat 服务器的系统,若其 JRE 比较脆弱,未经授权的用户完全可以耗尽其所有资源。

实现方式——实现 java.lang.Double.parseDouble() 及其相关方法中的漏洞会导致线程在解析 [2^(-1022) - 2^(-1075) : 2^(-1022) - 2^(-1076)] 范围内的任一数字时造成线程悬停。这个缺陷可以用来进行 DOS(拒绝服务)攻击。例如:下面的代码使用了较为脆弱的方法。

Double d = Double.parseDouble(request.getParameter("d"));

攻击者可以发送这样的请求,其参数 d 在上面的范围中,例如 “0.0222507385850720119e-00306” ,进而导致程序在处理该请求时悬停。

黑客新闻中的评论指出,BigDecimal.doubleValue 方法实际上只是将参数转化为字符串,然后调用 Double.parseDouble 方法。因此,非常不幸,上面的机制只有在我放弃一些精度调用 Math.pow(10, exponent),而不使用 scaleByPowerOfTen 时会起作用。上面的版本,很遗憾,不起作用。

尽管这个错误已经在 JDK 1.6_24 及之后的版本得到修复,安全行业研究机构发现许多 Java 系统可能还在运行有风险的老版本。普遍的建议是升级系统或者单纯地标准化清理后的字符串,将其传入新的 java.math.BigDecimal() 方法,再将结果转化为基本 double 类型。遗憾的是,BigDecimal 的构造函数也会调用麻烦的 Double.parseDouble 代码,因此我们又回到了原点。最后,我们还可以尝试下面的代码,虽然不能说它高效,但是它通过了所有 Float 测试,不会像 Double.parseDouble 那样拒绝服务。

 public static double parseDouble(String value)
   String normalString = normalizeDoubleString(value);
   int offset = normalString.indexOf(‘E‘);
   BigDecimal base;
   int exponent;
   if (offset == -1) {
     base = new BigDecimal(value);
     exponent = 0;
     } else {
    base = new BigDecimal(normalString.substring(0, offset));
   exponent = Integer.parseInt(normalString.charAt(offset + 1) == ‘+‘ ?
    normalString.substring(offset + 2)
    normalString.substring(offset + 1));
     }
    return base.scaleByPowerOfTen(exponent).doubleValue();
     }

这种方式虽说有一定效果,但效率并不是很高。因为国内还有不少电商网站正在使用老的 Java 版本,所以这种漏洞被攻击还时有发生。

RASP:让 Parse Double 漏洞无处藏身

根据 Gartner 的报告,超过 80% 的攻击是以应用层为目标的,而大多数破坏活动是通过应用程序进行的。他们发现,软件提供商对应用程序安全防护的投 入普遍不足。Gartner 的分析师兼研究员 Joseph Feiman 提出了「实时应用自我保护 (Runtime Application Self-Protection)」 的概念。

作为一种新型应用安全保护技术,RASP 将保护程序想疫苗一样注入到应用程序和应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力。比如说针对拒绝服务漏洞 Parse Double 来说, RASP 定制了响应的规则集和防护类,然后采用 java 字节码技术,在被保护的类被加载进虚拟机之前,根据规则对被保护的类进行修改,将防护类织入到到被保护的类中,从而保证了我们服务器的安全。

OneRASP(实时应用自我保护)是一种基于云的应用程序自我保护服务, 可以为软件产品提供实时保护,使其免受漏洞所累。

转自:http://news.oneapm.com/parse-double-onerasp/

更多:https://www.oneasp.com/

时间: 2024-10-09 03:38:25

让 Parse Double 漏洞无处藏身 工程师们必备神器!的相关文章

安全工程师只能向拒绝服务漏洞 Parse Double 低头?

双十一的硝烟还未散尽,双十二就要来了.每逢节日期间,各大电商网站交易量暴涨,用户蜂拥而至抢购商品.那么这些电商平台的安全性如何? 据不完全统计,乌云平台自成立以来,已收集到的电商平台漏洞总数达 1169 个,其中 2015 年电商平台漏洞数为 414 个,相比于 2014 年,漏洞总数上涨了68.98%.对于安全工程师们来说,则需要加班加点保障网站的稳定性和安全性.数千亿的消费额,让所有的电商平台工程师,对安全问题不敢有一丝怠慢. 根据 Gartner 的报告,超过 80% 的攻击是以应用层为目

sublime text3 --前端工程师必备神器

sublime text3 --前端工程师必备神器 导读目录: 下载与Emmet插件安装 sublime text3 中cssrem安装与使用 sublime Text 3的中文文件名显示为方框的问题解决方案 如何使用自定义的快捷键快速在浏览器中打开html文件 sublime text3 下载安装与 Emmet插件的安装 对于前端工程师来说,sublime text3绝对是神器,Emmet插件通过自动补齐可以大大提高我们的开发效率. 第一步:进入 官网 下载sublime text3.比如对于

详解linux运维工程师入门级必备技能

详解linux运维工程师入门级必备技能 | 浏览:659 | 更新:2013-12-24 23:23 | 标签:linux it自动化运维就是要很方便的运用各种工具进行管理维护,有效的实施服务器保护 linux运维人员常用工具介绍 1.很多地方经常会用到的rsync工具 实施几台服务器的同步效果 我们公司就是使用这个工具完成服务器的游戏的服务端和客户端同步,有几个文章例子 rsync 强化技术(手动修改端口开启防火墙的情况下)并且通过脚本只同步需要的服务器 inotify+rsync+mutt+

【转载】运维职业向!我是怎么入得运维行业?运维工程师入门必备技能以及打怪升级篇

前言:转载 陈浩一个从事安全运维向的前辈文章.写的很好.人非常nice,遇到了问题,qq上很快就回复了我. 大道三千 入门最难,凡事入了行,也就什么都好说了,好的自然不断努力奋斗修行,不好的自然很快就被淘汰.恭谨勤勉,时不我待~ ---------------------------------------------------------------------------------------------------------------------------------------

一名全栈工程师的必备工具箱

全栈工程师,也叫全端工程师,是指掌握多种技能,并能利用多种技能独立完成产品的人.全栈工程师熟悉多种开发语言,同时具备前端和后台开发能力,从需求分析,原型设计到产品开发,测试,部署,发布全流程都十分熟悉. 全栈工程师由于经常研究各种技术,他不会精确记得所有语言代码的语法和API,他觉得没有Google和百度,几乎没法工作.他记的只是一个Key,一个如何找寻答案的索引,而不是全部,人脑不是电脑,他不可能记下所有的东西. 对全栈工程师而言,各种辅助工具是十分重要的.全栈工程师更多的工作不是造轮子,而是

考试必备神器-真题园手机客户端Android版1.2新版上线啦,快快扫描下载使用~~

该应用是由真题园网 http://www.zhentiyuan.com 出品的一款教育学习的App. 真题园-考试必备神器,爱学习,找真题! 1.新闻资讯版块全新升级为今日头条.2.最新最全的真题大全,最新更新真题榜,最多阅读榜,网友最爱榜单.3.搜索你想要的真题,可以下载真题,分享真题给社交圈.4.我的下载,随时随地把真题下载到手机里.5.全新UI优化,更加扁平化,更加美观,更好体验.6.真题大全页面添加浏览操作菜单功能,提升用户体验.7.修复若干已知bug以及用户反馈的问题. 1.2 版本更

CHINASSL提供免费在线CSR生成工具,申请SSL证书必备神器

申请SSL证书必备神器,够买企业型SSL证书.域名型SSL证书,通配符证书,EV SSL证书都可以直接使用该CSR生成工具直接生成在线生成SSL证书请求文件CSR,该工具全程使用SSL加密处理数据,放心使用,不会泄露用户任何数据,在线生成CSR文件,首选CHINASSL免费SSL工具!

Mac上的尖端图像查看器—EdgeView2,装机必备神器!

在Mac上一直以来有这样一个问题,那么就是看图片无法翻页,自带的文件管理器太差了,不够直观.那么有没有办法解决这个问题的呢?当然有,今天小编就给大家带来的一款Mac上的尖端图像查看器EdgeView2,它能轻松帮我们解决这个问题.快跟小编一起来看看EdgeView2的强大功能吧! ---图像查看器 -支持JPG,GIF,BMP,psD,TIFF,RAW(DNG)和PDF等图像文件支持主要的存档格式,如ZIP,RAR,CBZ,CBR,7zip,ALZ等.可以提取加密的存档文件可以在归档中读取归档文

对于缺少Mac必备神器的小伙伴 怎么在618大促时候薅羊毛

对于缺少Mac必备神器的小伙伴 怎么在618大促时候薅羊毛? 当然是趁着降价赶紧下手啦 ================================================= 清理神器——CleanMyMac X 活动时间:2019年6月10日——2019年6月20日 活动方式:低价狂欢 活动特点:保价618(2019.6.10-2019.7.10) 活动价格:¥199 原价:¥635 活动地址:http://www.mycleanmymac.com/goumai.html ====