4

代码审计:如何在全新编程语言中发现漏洞?

 2 years ago
source link: https://www.51cto.com/article/719166.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

代码审计:如何在全新编程语言中发现漏洞?

作者:悠悠PM10 2022-09-20 12:53:15
具有安全意识的开发者仍然可能产生漏洞,因为很多开发用不到的特性、甚至编程语言官方非预期的情景不是开发者掌握的知识,代码安全审计是必要的。这门全新的编程语言可能出现的问题却是任何编程语言代码安全审计需要注意的共通之处。

为了直观体现代码审计思想,对漏洞情景进行了简化。

一,安全标准不一致

一门新的编程语言,作为后端处理程序,肯定是需要与中间件/数据库等其他模块相联系的,如果它们对待请求的安全标准不同,就可能导致安全问题。下面我们用一些已知语言的例子来演示这一点。

案例一 WSGI与中间件不一致

1.png

WSGI作为桥梁连接中间件和应用程序,而作为应用程序的这个全新的编程语言也会在这一环节安全问题。

WSGI与中间件具有重合的管辖领域,或者WSGI与应用程序具有重合的管控范围,就可能出现问题。

以nginx+gunicorn为例。

gunicorn是在中间件和pytho之间的一个桥梁,它是图中WSGI的一种,也可以处理http请求。

如果中间件是nginx,它和gunicorn都有权力检查http请求,此时就可能出现问题。

python部分

2.png

nginx部分

3.png

此时,nginx对待请求和gunciron对待请求的标准不同。构造/privateHTTP/1.1/../../public。nginx会解析../返回上级目录,认为该请求是访问/public,安全地放行传给gunicron,而gunicorn不会这样解析,反而认为是发送了两个包,解析为访问/private和访问/public。这样就绕过了安全检查。

案例二 数据类型安全标准不一致

这门全新的编程语言势必有多种数据类型来满足不同的需求,如列表、数组等等。这时安全标准不一致就可能导致问题。

no-sql一度认为不可被注入,最后却败于这一点。

以mongodb+js为例。

mongodb舍弃了sql语句,规范写法不采用拼接方式调用执行。即使采用安全规范,与php组合也容易出现问题。

mongdb部分

4.png

js部分

5.png

这里是无法拼接跳出的,字符串就是字符串,然而,借助js与php类似的可以传入数组参数的特性,构造/login?username=admin&password['$ne']=1可以让mongdb解析为db.Users.find({username:'admin',password:{'$ne':'1'}});这里的$ne是mongodb的操作符,意思为不等于,此时语义使得admin密码不为1即可登入成功。

案例三 多种注入防御机制不一致

这门新的编程语言往往需要在不同情景输入/输出,输出在html可能导致xss注入,输出在mysql可能导致sql注入。我们可以采用一些安全措施来限制它们的产生,但是这两种防御机制不相容时就会出现问题。

以xss注入防御+sql注入防御为例。

xss防御部分:

  • 删去所有标签
  • sql防御部分:
  • 删去黑名单关键字
6.png

在关键字插入<a>标签即可绕过。

二,代码与数据可转换

一门新的编程语言,为了使用方便,常常需要把一些代码转化成数据,或者把一些数据转化成代码,这可能导致安全问题。下面我们将以几个案例演示这一点,

案例一 不安全的模板渲染

模板渲染是编程语言常见的功能,有时具有一些安全问题。

前端部分

7.png

对应代码

8.png

模板部分

10.png

我们可以看到,开发者已经殚精竭虑的做了安全限制,尽可能的避免漏洞,每一个变量的限制都在避免产生漏洞,然而,依旧产生了漏洞。这是因为这依旧没能完全分离数据与代码,导致安全问题。

9.png

我们可以在user部分输入)/*

接着在punc部分输入*/ 任意一个无字母数字的shell ?>

让punc从数据变成代码,跳出安全限制,顺利getshell。

要知道,开发者已经殚精竭虑的做了安全限制,却仍然被突破。错误的渲染方式可能导致数据与代码没有严格分离,造成漏洞。

案例二 跨语言的数据传递

这种新的编程语言有时需要与其他语言的脚本交互,传输数据时就可能采用标记语言,比如xml、json、yaml等等。或者是使用配置文件来储存一些关键常量。这样有时会造成安全问题。

yaml是一种可以储存数组、对象、列表等各种数据类型用于书写配置文件或者跨语言传输数据使用的标记语言。

以yaml反序列化漏洞为例。

python部分

功能是给在线解压的压缩包写一个配置文件

12.png

yaml部分

当我们以某种方式覆盖这个yaml文件,换成如下内容,就会形成反弹shell。

13.png

三,可预测的安全处理方式

一门新的编程语言,势必会有一些逻辑代码来提高安全性,当我们不是选择拒绝非法输入而是对非法输入进行安全处理时,就可能造成安全问题。

案例一 人性化矫正输入

有时我们会善意的为输入者可能的错误输入形式进行矫正,这可能为攻击者提供便利。

以CVE-2022-30333为例

在unRAR小于 6.12的版本中,存在一个由于人性化矫正输入引发的漏洞,简单的来说,我们可以输入解压后的文件路径,开发者已经在这里殚精竭虑的做了安全限制,会把../等尝试目录穿越的操作认为是危险。但是,仍然产生了漏洞。函数DosSlashToUnix()出于人性化的考虑把\(反斜杠)转化为/(正斜杠),使得..\能够变成../绕过安全检查,导致目录穿越。最终效果就是可以在任何目录下写入任意文件。

案例二 不安全的安全性过滤输入

我们如果修改非法输入而不是拒绝非法输入,就很可能产生问题。

以sql注入的不成熟防御为例。

14.png
15.png

有的人可能会说黑名单不全,事实上就算把sql所有保留字列入黑名单依旧存在问题,因为你并不是拒绝输入而是改写输入,这个情景下可以双写绕过。

输入?id=' oorr 1=1#

因为输入被改写了,可预测的改写形式能够被利用,造成绕过。

案例三 可预测的密钥加密

当我们把某个认为攻击者不可能获取的系统变量作为密钥,为程序的安全性沾沾自喜时,也许就会翻车。

以flask模块的session为例:

16.png

flask的session放在cookie中,通过密钥加密保证其未i被篡改。而这里密钥就是主机名,如果通过某种方式获取了这一变量,就会导致session被攻击者完全控制,攻陷网站所有的用户以及管理员。

17.png

后续服务中提供的下载功能具有缺陷,组合拳导致session也沦陷。

四,意外的可控变量

这门全新变成语言肯定需要与用户交互,从而控制一些变量。我们通常会对其进行安全检查,所以,出现意外的可控变量(我们认为不可控但实际上用户可控)就很容易导致安全问题。

案例一 把变量储存在两个地方

当我们把变量储存在两个地方,就可能导致安全检查失效。

以二次注入为例:

18.png
19.png

这里实现了一个用户登录功能,开发者已经在这里殚精竭虑的做了安全限制,各种转义处理。但是他把变量储存在了两个地方,导致漏洞仍然出现。

20.png

我们可以发现那个非法输入藏在session逃过了安全检查,如果构造username=' or 1=1#

就可以修改所有用户的密码。

案例二 认为某可控变量不可控

实际上编程语言中即使采用获取常量的方式获取一些变量,也不能大意,它们也许还是可控的。

以User-agent注入为例。

21.png
22.png

可以看到开发者已经在这里殚精竭虑的做了安全限制,安全意识很强,但是依旧出现问题。

23.png

这都是因为开发者使用的语言中,获取变量的方式也许是常量形式,开发者认为其不可控引起的。

具有安全意识的开发者仍然可能产生漏洞,因为很多开发用不到的特性、甚至编程语言官方非预期的情景不是开发者掌握的知识,代码安全审计是必要的。这门全新的编程语言可能出现的问题却是任何编程语言代码安全审计需要注意的共通之处。

责任编辑:武晓燕 来源: FreeBuf.COM

report

Recommend

  • 63
    • www.zhihu.com 6 years ago
    • Cache

    编程语言中的「组合性」是什么意思? - 知乎

    有问题,上知乎。知乎是中文互联网知名知识分享平台,以「知识连接一切」为愿景,致力于构建一个人人都可以便捷接入的知识分享网络,让人们便捷地与世界分享知识、经验和见解,发现更大的世界。

  • 54
    • www.tuicool.com 5 years ago
    • Cache

    web前端是编程语言中更新迭代最快的,2019年你变强了,也秃了

    本文盘点2019年比较热的技术点,大家好根据前端发展趋势对自己的技术栈做一定规划,抓住重点。 本文主要聊以下几个技术点: Vue, React, Angular WebAssembly,PWA

  • 71
    • www.v2ex.com 5 years ago
    • Cache

    新老编程语言中,哪一门语言让你觉得语法是最舒服的?

    程序员 - @HarveyLiu - 不谈论,简洁问题,也不管静态,动态问题,只谈论写起来是否舒服,有没有违和感。

  • 35
    • arthurchiao.github.io 5 years ago
    • Cache

    [译] 编程语言中的 6 种内存模型(2016)

    [译] 编程语言中的 6 种内存模型(2016) Published at 2019-11-09 | Last Update 2019-11-09 本文翻译自一篇英文博客 The memory models th...

  • 26
    • www.infoq.cn 5 years ago
    • Cache

    编程语言中的 6 个有趣特性

    Java 是一门不断发展的语言,这是一件好事。然而,其他语言的一些特性也是值得研究的。语言的结构是人们思考问题的方式,也是人们设计解决方案的方式。学习或至少熟悉其他语言是借鉴其设计的好方法。 Java 是我学习的第一门语言并...

  • 12
    • hiberabyss.github.io 2 years ago
    • Cache

    编程语言中的闭包

    闭包是现代的高级编程语言的一个重要概念, 本文会以 Golang 为例来介绍什么是闭包.什么是闭包 (Closure)在介绍闭包的定义之前, 我们先来看下闭包的示例代码:package mainimport "fmt"func greeting(name stri...

  • 5
    • hbuacm.github.io 2 years ago
    • Cache

    为什么很多编程语言中数组都从0开始编号

    HBUACM为什么很多编程语言中数组都从0开始编号...

  • 5
    • www.techug.com 2 years ago
    • Cache

    现代 ABAP 编程语言中的正则表达式

    ...

  • 6
    • www.fly63.com 2 years ago
    • Cache

    编程语言中索引签名是什么?

    最近在参与KusionStack 内置的领域语言 ——KCL配置语言编译器 的开发,语言的语法中包括一个“索引签名”的概念,在参与社区讨论的时候发现很多小伙伴不明白这个“索引签名”是什么,于是自...

  • 9
    • www.techug.com 1 year ago
    • Cache

    各种编程语言中的 Lambda

    各种编程语言中的 Lambda 我喜欢看 Conor Hoekstra 的视频,一方面是因为他是一位引人入胜的主持人,另一方面是因为他介绍了很多很多编程语言。我不懂那么多语言,所以能接触到不同语言如何解决相同的问题是件...

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK