让 Parse Double 漏洞无处藏身,工程师们必备神器!
咱们不少人都会在网上购物买东西。可是,咱们不少人都不清楚的是,不少电商网站会存在安全漏洞,好比拒绝服务漏洞问题。拒绝服务漏洞根据影响自低像高可分为:无效、服务下降、可自恢复的服务破坏、可人工恢复的服务破坏以及不可恢复的服务破坏。java
详细来讲,若是攻击能力不足以致使目标彻底拒绝服务,但形成了目标的服务能力下降,这种效果称之为服务下降。而当攻击能力达到必定程度时,攻击就可使目标彻底丧失服务能力,称之为服务破坏。服务破坏又能够分为可恢复的服务破坏和不可恢复的服务破坏,就好像一些攻击利用目标系统的漏洞对目标的文件系统进行破坏,致使系统的关键数据丢失,每每会致使不可恢复的服务破坏,即便系统从新提供服务,仍然没法恢复到破坏以前的服务状态。因而可知,拒绝服务漏洞是那么可怕!安全
拒绝服务漏洞:Parse Double
拒绝服务漏洞是在一些遗留系统中仍然存在的老错误,在 Windows 与 Linux 的 JDK1.6_23 及更早 JDK1.5_27 及更早 JRE 1.4.2_29 及更早的版本中都存在这一漏洞。对于使用 Apache Tomcat 服务器的系统,若其 JRE 比较脆弱,未经受权的用户彻底能够耗尽其全部资源。服务器
实现方式——实现 java.lang.Double.parseDouble() 及其相关方法中的漏洞会致使线程在解析 [2^(-1022) - 2^(-1075) : 2^(-1022) - 2^(-1076)] 范围内的任一数字时形成线程悬停。这个缺陷能够用来进行 DOS(拒绝服务)攻击。例如:下面的代码使用了较为脆弱的方法。函数
Double d = Double.parseDouble(request.getParameter("d"));
攻击者能够发送这样的请求,其参数 d 在上面的范围中,例如
“0.0222507385850720119e-00306” ,进而致使程序在处理该请求时悬停。测试
黑客新闻中的评论指出,BigDecimal.doubleValue 方法实际上只是将参数转化为字符串,而后调用 Double.parseDouble 方法。所以,很是不幸,上面的机制只有在我放弃一些精度调用 Math.pow(10, exponent),而不使用 scaleByPowerOfTen 时会起做用。上面的版本,很遗憾,不起做用。网站
尽管这个错误已经在 JDK 1.6_24 及以后的版本获得修复,安全行业研究机构发现许多 Java 系统可能还在运行有风险的老版本。广泛的建议是升级系统或者单纯地标准化清理后的字符串,将其传入新的 java.math.BigDecimal() 方法,再将结果转化为基本 double 类型。遗憾的是,BigDecimal 的构造函数也会调用麻烦的 Double.parseDouble 代码,所以咱们又回到了原点。最后,咱们还能够尝试下面的代码,虽然不能说它高效,可是它经过了全部 Float 测试,不会像 Double.parseDouble 那样拒绝服务。线程
public static double parseDouble(String value)
String normalString = normalizeDoubleString(value);
int offset = normalString.indexOf('E');
BigDecimal base;
int exponent;
if (offset == -1) {
base = new BigDecimal(value);
exponent = 0;
} else {
base = new BigDecimal(normalString.substring(0, offset));
exponent = Integer.parseInt(normalString.charAt(offset + 1) == '+' ?
normalString.substring(offset + 2)
normalString.substring(offset + 1));
}
return base.scaleByPowerOfTen(exponent).doubleValue();
}
这种方式虽然说有必定效果,但效率并非很高。由于国内还有很多电商网站正在使用老的 Java 版本,因此这种漏洞被攻击还时有发生。code
RASP:让 Parse Double 漏洞无处藏身
根据 Gartner 的报告,超过 80% 的攻击是以应用层为目标的,而大多数破坏活动是经过应用程序进行的。他们发现,软件提供商对应用程序安全防御的投 入广泛不足。Gartner 的分析师兼研究员 Joseph Feiman 提出了「实时应用自我保护 (Runtime Application Self-Protection)」 的概念。orm
做为一种新型应用安全保护技术,RASP 将保护程序想疫苗同样注入到应用程序和应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具有自我保护能力。好比说针对拒绝服务漏洞 Parse Double 来讲, RASP 定制了响应的规则集和防御类,而后采用 java 字节码技术,在被保护的类被加载进虚拟机以前,根据规则对被保护的类进行修改,将防御类织入到到被保护的类中,从而保证了咱们服务器的安全。ci
OneRASP(实时应用自我保护)是一种基于云的应用程序自我保护服务, 能够为软件产品提供实时保护,使其免受漏洞所累。
- 1. 安全工程师只能向拒绝服务漏洞 Parse Double 低头?
- 2. 工作必备神器
- 3. Java工程师必备
- 4. 程序员必备神器
- 5. IDEA 调试图文教程,让bug无处藏身!
- 6. 前端工程师必备收藏:学习资源全网罗
- 7. Python 必备 debug 神器:pdb
- 8. 无忧行-出国必备神器
- 9. 程序员必备神器,脑洞不是一般大!
- 10. 内核工程师必备工具--crash
- 更多相关文章...
- • Git 工作流程 - Git 教程
- • C# 预处理器指令 - C#教程
- • Docker容器实战(一) - 封神Server端技术
- • IDEA下SpringBoot工程配置文件没有提示
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Window下Ribbit MQ安装
- 2. Linux下Redis安装及集群搭建
- 3. shiny搭建网站填坑战略
- 4. Mysql8.0.22安装与配置详细教程
- 5. Hadoop安装及配置
- 6. Python爬虫初学笔记
- 7. 部署LVS-Keepalived高可用集群
- 8. keepalived+mysql高可用集群
- 9. jenkins 公钥配置
- 10. HA实用详解
- 1. 安全工程师只能向拒绝服务漏洞 Parse Double 低头?
- 2. 工作必备神器
- 3. Java工程师必备
- 4. 程序员必备神器
- 5. IDEA 调试图文教程,让bug无处藏身!
- 6. 前端工程师必备收藏:学习资源全网罗
- 7. Python 必备 debug 神器:pdb
- 8. 无忧行-出国必备神器
- 9. 程序员必备神器,脑洞不是一般大!
- 10. 内核工程师必备工具--crash