一、API成批分配漏洞介绍

批量分配:在API的业务对象数据结构中,通常存在多个属性,攻击者通过篡改属性值的方式,达到攻击目的。比如通过设置user.is_adminuser.is_manager的值提升用户权限等级;假设某API的默认接口调用参数为{“user_name“:”user“,”is_admin“:0},而恶意攻击者修改请求参数提交值为{“user_name“:”attacker“,”is_admin“:1},通过修改参数is_admin的值来提升为管理权限

应用程序中潜藏的安全漏洞是一种非常大的隐患,攻击者会通过某一个安全漏洞窃取站点内的用户隐私等重要信息。在扫描应用程序时,我们需要对多项内容进行配置。那么,AppScan扫描应用程序需要URL吗?是需要的。在新版的AppScan还可以扫除API成批分配问题我们需要AppScan扫出API成批分配问题解决方案解决

APPScan 10.0.7新增扫描功能 HCL AppScan® Enterprise 中的新增功能 (hcltechsw.com),增加了批量分配API的规则

AppScan扫描应用程序需要URL吗

AppScan扫描应用程序是否需要URL,那么我们就要看AppScan是如何扫描应用程序的。

1.启动扫描位置


图1:主界面

这里我们使用的是AppScan 10.0.8版本启动软件后,单击界面中【web应用程序】便可启动扫描进程

2.配置扫描 


图2:配置界面

配置界面中第一项便是要求填写【URL和服务器】,在图2中【从该URL开始扫描】位置输入目标URL即可。 

3.完全扫描模式输入URL 


图3:完全扫描

我们启动【完全扫描】模式时,在【探索】位置我们可以对【URL和服务器】进行配置,配置方式和【扫描web应用程序】的配置方式一致。

4.web API 

AppScan主界面中除了【web应用程序】和【完全配置】外,还有【web API】,web API的配置是不需要的填写URL的。


图4:扫描web API

web API虽然无需填写URL,但需要填写客户机描述文件

漏洞条件

1、接口类型application/json参数传值form表单类型暂未受影响

2、请求json参数不是接收参数javabean及其父类中任意属性。

3、接口HTTP状态码为200

请求json参数不是接收参数的javabean及其父类中任意属性。

意思就是:我javaben里面没有这个参数,你却传递过来了,例如我只需要pageNumpageSize 你还传了role:admin 那么这样就有可能导致致特权升级数据篡改绕过安全机制

二、AppScan扫出API成批分配问题

利用

利用通常需要了解业务逻辑对象关系和 API 结构。 在 API 中利用批量分配更容易,因为按照设计,它们公开了应用程序底层实现以及属性名称

安全弱点

现代框架鼓励开发人员使用自动客户端输入绑定代码变量内部对象函数攻击可以使用这种方法更新覆盖开发人员从未打算公开的敏感对象的属性。

影响

利用漏洞可能会导致权限升级数据篡改绕过安全机制等。                       

API 是否容易受到攻击

现代应用程序中的对象可能包含许多属性。 其中一些属性应由客户端直接更新例如user.first_name 或 user.address),而另一些则不应该例如user.is_vip 标志)。

如果 API 端点自动客户端参数转换内部对象属性,而不考虑这些属性的敏感性和暴露级别,则该端点容易受到攻击。 这可能允许攻击者更新他们不应访问的对象属性。

敏感属性的示例

权限相关属性:user.is_adminuser.is_vip 只能由管理设置
流程相关的属性:user.cash 只能在付款验证后在内部设置。
内部属性:article.created_time 只能由应用程序内部设置。

攻击场景示例

场景#1

乘车共享应用程序为用户提供了编辑个人资料基本信息选项。 在此过程中,API 调用使用以下合法 JSON 对象发送到 PUT /api/v1/users/me:

{“user_name” : “inons”,“age” : 24}

请求 GET /api/v1/users/me 包含一个额外credit_balance 属性:

{“user_name” : “inons”,  “age”:24,  “credit_balance” : 10} 

攻击者使用以下有效负载重放第一个请求:

{“user_name” : “攻击者”,“age” : 60,“credit_balance” : 99999} 

由于端点容易受到大规模分配的影响,攻击者无需付费即可获得积分。 

场景#2

视频共享门户允许用户上传下载不同格式内容探索 API 的攻击者发现端点 GET /api/v1/videos/{video_id}/meta_data 返回带有视频属性的 JSON 对象。 其中一个属性是“mp4_conversion_params”:“-v codec h264”,这表示应用程序使用 shell 命令转换视频。

攻击者还发现端点 POST /api/v1/videos/new 容易受到批量分配的影响,并允许客户端设置视频对象的任何属性。 攻击者设置恶意值如下:“mp4_conversion_params”:“-v codec h264 && format C:/”。 一旦攻击者将视频下载为 MP4,该值将导致 shell 命令注入

攻击者利用批量分配漏洞

当来自客户端手动修改不可内部对象属性的请求不受 API 端点限制时,就会出现 API 批量分配漏洞

攻击者可以用此漏洞,通过构建 HTTP 请求来升级用户权限、绕过安全机制使用任何其他方法使 API 端点以非设计方式工作

注意:批量分配和过多数据暴露OWASP API Sec 2019 中是一个单独的风险类别,现在已合并名为“损坏对象属性级别授权”的新风险类别中。

如何预防 

如果可能,请避免使用自动客户端输入绑定代码变量内部对象的函数

仅将应由客户端更新的属性列入白名单

使用内置功能客户端不应访问的属性列入黑名单

如果适用,请显式定义强制执行输入数据有效负载的架构

增加反序列化配置。

三、成批分配漏洞解决方案

方案1:增加反序列化配置方案

1、反序列化所使用的框架的配置

jackson

如果SpringBoot使用的默认jackson做的序列化,可以考虑jackson配置来解决冗余参的问题

可以直接配置文件中增加配置

spring:
  jackson:
    serialization:
      # 某些类对象无法序列化的时候是否报错
      fail_on_empty_beans: true
    deserialization:
       # json对象中有不存在的属性时候是否报错
      fail_on_unknown_properties: true

或自建配置类

@Configuration
public class JacksonConverters {

     @Bean
     public HttpMessageConverters JacksonHttpMessageConverters() {
         MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter = new MappingJackson2HttpMessageConverter();
         ObjectMapper objectMapper = new ObjectMapper();
         //省略其他配置开始
         //反序列化的时候如果多了其他属性,抛出异常
         objectMapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, true);
         //省略其他配置结束
      }

}
fastjson

如果SpringBoot使用的是fastjson做的序列化,在2.0.42版本中增加了解决方案,可以考虑fastjson配置来解决冗余参的问题

/**
 * @author admin
 */
@Configuration
public class Fastjson2Config {

    /**
     * 使用fastJson解析
     */
    @Bean
    public HttpMessageConverters fastJsonHttpMessageConverters() {
        FastJsonHttpMessageConverter converter = new FastJsonHttpMessageConverter();
        FastJsonConfig config = new FastJsonConfig();

        /*
         * API成批分配利用问题(反序列化的时候如果多了其他属性)修复方法:
         * 第一:json反序列化组件设置,如:fastjsonjackson
         * 第二:签名验证
         *
         * fastjson 2.0.42增加了ErrorOnUnknownProperties修复API成批分配利用问题,反序列化的时候如果多了其他属性,抛出异常
         * https://github.com/alibaba/fastjson2/issues/1944
         *
         * JSONObject jsonObject = JSONObject.of("id", 123, "name", "xxx");
         * String str = jsonObject.toJSONString();
         * assertEquals(jsonObject.getIntValue("id"), JSON.parseObject(str, Bean.class).id);
         * assertThrows(JSONException.class, () -> JSON.parseObject(str, Bean.class, JSONReader.Feature.ErrorOnUnknownProperties));
         * assertEquals(jsonObject.getIntValue("id"), jsonObject.toJavaObject(Bean.class).id);
         * assertThrows(JSONException.class, () -> jsonObject.toJavaObject(Bean.class, JSONReader.Feature.ErrorOnUnknownProperties));
         *
         * jackson中可以加入
         * spring:
         *   jackson:
         *     deserialization:
         *       fail-on-unknown-properties: true
         * 或
         * //反序列化的时候如果多了其他属性,抛出异常
         * objectMapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, true);
         *
         * 统一异常捕获或者返回处增加非200状态码
         *
         */
        config.setDateFormat("yyyy-MM-dd HH:mm:ss");
        config.setReaderFeatures(JSONReader.Feature.ErrorOnUnknownProperties);
        config.setWriterFeatures(JSONWriter.Feature.WriteMapNullValue, JSONWriter.Feature.PrettyFormat);

        converter.setDefaultCharset(StandardCharsets.UTF_8);
        List<MediaType> supportedMediaTypes = new ArrayList<>();
        supportedMediaTypes.add(MediaType.APPLICATION_JSON);

        converter.setFastJsonConfig(config);
        converter.setSupportedMediaTypes(supportedMediaTypes);
        return new HttpMessageConverters(converter);
    }

}

2、统一异常捕获或者返回处增加非200状态码 

 /**
  * 捕获反序列化异常HttpMessageNotReadableException,增加500状态码返回
  * @param request   请求
  * @param exception 异常对象
  * @return 响应
  */
@ExceptionHandler(value = HttpMessageNotReadableException.class)
public ResponseEntity<Map<String, Object>> methodHttpMessageNotReadableExceptionHandler(HttpServletRequest request, HttpMessageNotReadableException exception) {
    //按需重新封装需要返回的错误信息
    WebRequest webRequest = new ServletWebRequest(request);
    Map<String, Object> body = errorAttributes.getErrorAttributes(webRequest, ErrorAttributeOptions.defaults());
    body.put(DATA, "convert exception message to JSON");
    body.put(STATUS, HttpStatus.INTERNAL_SERVER_ERROR.value());
    body.put(MESSAGE, HttpStatus.INTERNAL_SERVER_ERROR.getReasonPhrase());
    body.put(SUCCESS,false);
    return new ResponseEntity<>(body, HttpStatus.INTERNAL_SERVER_ERROR);
}

或者在其他异常拦截方法上增加状态注解

 @ResponseStatus()

方案二:接口使用参数签名机制

HMac, HMac Springboot, 微信支付参数签名

#前端请求

请求 URL: http://localhost/cars/query

请求方法: POST

HTTP状态码:200

playload:{“color“:”red“,”company”:”ltl”,”seats“:”2-2”} #正常请求

Header:sign:ErOVBda4VMFdX9aixigRslAjY0rhT7lLxy

#后端controller

@PostMapping(value = "/query")
public BaseResponse query(@RequestBody Car car) {
     String signFront = request.header("sign");
     String signBackend = SignUtils.handler(car);

     if(!signBackend.equals(signFront)) {
         throws new ServiceErrorException("签名异常");       
     }

}

Jackson类库解决方案 

Solution – Jackson @JsonView
We can create JSON view like below:

public class View {
    
    public static class Editable {}

    public static class Viewable extends Editable {}

    public static class Internal extends Viewable {}

}

Then annotate our mode class:

@JsonIgnoreProperties(ignoreUnknown = true)
public class Model implements Serializable {

 @JsonView(View.Editable.class)
 protected String editableField;

 @JsonView(View.Viewable.class)
 protected String viewableField; 

 @JsonView(View.Internal.class)
 protected String internalField;

}

 At last, we annotate out jax-rs resource with @JsonView annotation

@GET
@Produces(MediaType.APPLICATION_JSON )
@JsonView(View.Viewable.class)
public Iterable<Model> search() {}
@GET
@Path("{id}")
@Produces(MediaType.APPLICATION_JSON )
@JsonView(View.Viewable.class)
public Model getModel(@PathParam("id") final String id) {}
@POST
@Consumes({MediaType.APPLICATION_JSON})
public Response add(@JsonView(View.Editable.class) final Model model) {}

Spring MVC provides data binder that we can specify what fields are not allowed.

禁用字段

@InitBinder 
public void initBinder(WebDataBinder binder) {
     binder.setDisallowedFields(DISALLOWED_FIELDS);
}

允许字段

@Controller
public class UserController {

    @InitBinder
    public void initBinder(WebDataBinder binder, WebRequest request) {
         binder.setAllowedFields(["userid", "password", "email"]);
    }

    ...

}

四、总结

以上便是,AppScan扫描应用程序需要URL吗,AppScan扫出API成批分配问题解决方案内容。AppScan扫描应用程序是需要URL的,同时AppScan完全扫描也是需要URL的,在新版软件中,只有web API模式是无需URL的。新版的AppScan可以扫出API成批分配的问题,对于此类问题,我们只需要执行反序列化配置方案便可拦截API成批分配的问题。更多有关AppScan使用技巧,尽在AppScan中文网站

原文地址:https://blog.csdn.net/sinat_31583645/article/details/134717865

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任

如若转载,请注明出处:http://www.7code.cn/show_44448.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱suwngjj01@126.com进行投诉反馈,一经查实,立即删除

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注