让 Parse Double 漏洞无处藏身,工程师们必备神器!
来源:互联网 发布:淘宝代怎么刷大金额 编辑:程序博客网 时间:2024/05/18 02:34
我们很多人都会在网上购物买东西。但是,我们很多人都不清楚的是,很多电商网站会存在安全漏洞,比如拒绝服务漏洞问题。拒绝服务漏洞根据影响自低像高可分为:无效、服务降低、可自恢复的服务破坏、可人工恢复的服务破坏以及不可恢复的服务破坏。
详细来说,如果攻击能力不足以导致目标完全拒绝服务,但造成了目标的服务能力降低,这种效果称之为服务降低。而当攻击能力达到一定程度时,攻击就可以使目标完全丧失服务能力,称之为服务破坏。服务破坏又可以分为可恢复的服务破坏和不可恢复的服务破坏,就好像一些攻击利用目标系统的漏洞对目标的文件系统进行破坏,导致系统的关键数据丢失,往往会导致不可恢复的服务破坏,即使系统重新提供服务,仍然无法恢复到破坏之前的服务状态。由此可见,拒绝服务漏洞是那么可怕!
拒绝服务漏洞:Parse Double
拒绝服务漏洞是在一些遗留系统中仍然存在的老错误,在 Windows 与 Linux 的 JDK1.6_23 及更早 JDK1.5_27 及更早 JRE 1.4.2_29 及更早的版本中都存在这一漏洞。对于使用 Apache Tomcat 服务器的系统,若其 JRE 比较脆弱,未经授权的用户完全可以耗尽其所有资源。
实现方式——实现 java.lang.Double.parseDouble() 及其相关方法中的漏洞会导致线程在解析 [2^(-1022) - 2^(-1075) : 2^(-1022) - 2^(-1076)] 范围内的任一数字时造成线程悬停。这个缺陷可以用来进行 DOS(拒绝服务)攻击。例如:下面的代码使用了较为脆弱的方法。
Double d = Double.parseDouble(request.getParameter("d"));
攻击者可以发送这样的请求,其参数 d 在上面的范围中,例如
“0.0222507385850720119e-00306” ,进而导致程序在处理该请求时悬停。
黑客新闻中的评论指出,BigDecimal.doubleValue 方法实际上只是将参数转化为字符串,然后调用 Double.parseDouble 方法。因此,非常不幸,上面的机制只有在我放弃一些精度调用 Math.pow(10, exponent),而不使用 scaleByPowerOfTen 时会起作用。上面的版本,很遗憾,不起作用。
尽管这个错误已经在 JDK 1.6_24 及之后的版本得到修复,安全行业研究机构发现许多 Java 系统可能还在运行有风险的老版本。普遍的建议是升级系统或者单纯地标准化清理后的字符串,将其传入新的 java.math.BigDecimal() 方法,再将结果转化为基本 double 类型。遗憾的是,BigDecimal 的构造函数也会调用麻烦的 Double.parseDouble 代码,因此我们又回到了原点。最后,我们还可以尝试下面的代码,虽然不能说它高效,但是它通过了所有 Float 测试,不会像 Double.parseDouble 那样拒绝服务。
public static double parseDouble(String value) String normalString = normalizeDoubleString(value); int offset = normalString.indexOf('E'); BigDecimal base; int exponent; if (offset == -1) { base = new BigDecimal(value); exponent = 0; } else { base = new BigDecimal(normalString.substring(0, offset)); exponent = Integer.parseInt(normalString.charAt(offset + 1) == '+' ? normalString.substring(offset + 2) normalString.substring(offset + 1)); } return base.scaleByPowerOfTen(exponent).doubleValue(); }
这种方式虽说有一定效果,但效率并不是很高。因为国内还有不少电商网站正在使用老的 Java 版本,所以这种漏洞被攻击还时有发生。
RASP:让 Parse Double 漏洞无处藏身
根据 Gartner 的报告,超过 80% 的攻击是以应用层为目标的,而大多数破坏活动是通过应用程序进行的。他们发现,软件提供商对应用程序安全防护的投 入普遍不足。Gartner 的分析师兼研究员 Joseph Feiman 提出了「实时应用自我保护 (Runtime Application Self-Protection)」 的概念。
作为一种新型应用安全保护技术,RASP 将保护程序想疫苗一样注入到应用程序和应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力。比如说针对拒绝服务漏洞 Parse Double 来说, RASP 定制了响应的规则集和防护类,然后采用 java 字节码技术,在被保护的类被加载进虚拟机之前,根据规则对被保护的类进行修改,将防护类织入到到被保护的类中,从而保证了我们服务器的安全。
OneRASP(实时应用自我保护)是一种基于云的应用程序自我保护服务, 可以为软件产品提供实时保护,使其免受漏洞所累。
- 让 Parse Double 漏洞无处藏身,工程师们必备神器!
- 火狐让代码无处藏身
- 安全工程师只能向拒绝服务漏洞 Parse Double 低头?
- 一款看各种参考手册的神器,IT工程师必备
- 大数据和实名制的结合,让“老赖”和骗子们无处藏身
- 非大牛必备神器,让你爱不释手欲罢不能的三方库-----LeakCanary
- MIT新技术:辨别真假微笑 让谎言无处藏身
- eclipse memory analyzer(MAT) 让 Bug 无处藏身
- 揭开源码的神秘面纱,让源码从此无处藏身
- 揭开源码的神秘面纱,让源码从此无处藏身
- 揭开源码的神秘面纱,让源码从此无处藏身
- Parse:App开发必备 让应用开发效率提高上百倍
- Parse:App开发必备 让应用开发效率提高上百倍
- Parse:App开发必备 让应用开发效率提高上百倍
- Visual Studio 必备神器
- Visual Studio 必备神器
- 必备神器--Google
- Visual Studio 必备神器
- Disk IO especially SSD optimization step by step share
- [ecshop 资料]ecshop积分充值可充值等级积分余消费积分教程 pay_points
- Android总结篇系列:Android广播机制
- 百度地图api出现 leaked ServiceConnection com.baidu.location.LocationClient错误
- HTTP消息头信息
- 让 Parse Double 漏洞无处藏身,工程师们必备神器!
- 限制SSH登录
- [IOS开发]自定义使用AVCaptureSession 拍照,摄像,载图总结
- 大数据之Hadoop平台:Hadoop多用户管理
- Spring bean的配置
- Maven生命周期
- 程序员必备技能与习惯
- C# 将文件转化成byte[]数组
- 最强最全的Tree命令详解 http://www.blogjava.net/coderdream/archive/2008/01/18/176352.html