安全工程师只能向拒绝服务漏洞 Parse Double 低头？

双十一的硝烟还未散尽，双十二就要来了。每逢节日期间，各大电商网站交易量暴涨，用户蜂拥而至抢购商品。那么这些电商平台的安全性如何？

据不彻底统计，乌云平台自成立以来，已收集到的电商平台漏洞总数达 1169 个，其中 2015 年电商平台漏洞数为 414 个，相比于 2014 年，漏洞总数上涨了68.98%。对于安全工程师们来讲，则须要加班加点保障网站的稳定性和安全性。数千亿的消费额，让全部的电商平台工程师，对安全问题不敢有一丝怠慢。

根据 Gartner 的报告,超过 80% 的攻击是以应用层为目标的,而大多数破坏活动是经过应用程序进行的。他们发现,软件提供商对应用程序安全防御的投 入广泛不足。Gartner 专家指出周界安全防御费用与应用程序安全防御费用之比为 23:1。在一个完美的模型中,开发人员的开发生命周期 ( SDLC ) 应当符合安全防御标准,从而开发出安全的软件。现实却并不是如此，迭代开发和快速部署的流行，让电商平台正在经受重重考验。

让咱们先看一个比较广泛的漏洞，拒绝服务漏洞：[Parse Double]()，目前还有很多平台在采用较老的 Java 版本，因此此类漏洞还时有发生。

拒绝服务漏洞是在一些遗留系统中仍然存在的老错误，在 Windows 与 Linux 的 JDK1.6_23 及更早 JDK1.5_27 及更早 JRE 1.4.2_29 及更早的版本中都存在这一漏洞。对于使用 Apache Tomcat 服务器的系统，若其 JRE 比较脆弱，未经受权的用户彻底能够耗尽其全部资源。

实现方式——实现 java.lang.Double.parseDouble() 及其相关方法中的漏洞会致使线程在解析[2^(-1022) - 2^(-1075) : 2^(-1022) - 2^(-1076)]范围内的任一数字时形成线程悬停。这个缺陷能够用来进行 DOS（拒绝服务）攻击。例如：下面的代码使用了较为脆弱的方法。

Double d = Double.parseDouble(request.getParameter("d"));

攻击者能够发送这样的请求，其参数 d 在上面的范围中，例如「 0.0222507385850720119e-00306」 ,进而致使程序在处理该请求时悬停。

黑客新闻中的评论指出，BigDecimal.doubleValue 方法实际上只是将参数转化为字符串，而后调用 Double.parseDouble 方法。所以，很是不幸，上面的机制只有在我放弃一些精度调用 Math.pow(10, exponent) ，而不使用 scaleByPowerOfTen 时会起做用。上面的版本，很遗憾，不起做用。

尽管这个错误已经在 JDK 1.6_24 及以后的版本获得修复，安全行业研究机构发现许多 Java 系统可能还在运行有风险的老版本。广泛的建议是升级系统或者单纯地标准化清理后的字符串，将其传入新的 java.math.BigDecimal() 方法，再将结果转化为基本 double 类型。遗憾的是，BigDecimal 的构造函数也会调用麻烦的 Double.parseDouble 代码，所以咱们又回到了原点。最后，咱们还能够尝试下面的代码，虽然不能说它高效，可是它经过了全部 Float 测试，不会像 Double.parseDouble 那样拒绝服务。

public static double parseDouble(String value) {
String normalString = normalizeDoubleString(value);
int offset = normalString.indexOf('E');
     BigDecimal base;
     int exponent;
    if (offset == -1) {
     base = new BigDecimal(value);
     exponent = 0;
      } else {
     base = new BigDecimal(normalString.substring(0, offset));
     exponent = Integer.parseInt(normalString.charAt(offset + 1) == '+' ?
     normalString.substring(offset + 2)
     normalString.substring(offset + 1));
     }
    return base.scaleByPowerOfTen(exponent).doubleValue();
}

这种方式虽然说有必定效果，算不上聪明和高效。那么是否有更好的方式呢？

一种新型应用安全保护技术受到了较多的关注—— RASP（实时应用安全自我保护）。RASP 将保护程序想疫苗同样注入到应用程序和应用程序融为一体，能实时检测和阻断安全攻击，使应用程序具有自我保护能力。好比说针对拒绝服务漏洞 Parse Double 来讲，RASP 定制了响应的规则集和防御类，而后采用 java 字节码技术，在被保护的类被加载进虚拟机以前，根据规则对被保护的类进行修改，将防御类织入到被保护的类中，从而保证了咱们服务器的安全。

RASP 工做在运行环境时,像疫苗同样和应用程序融为一体,了解应用的上下文,从而能够实时完全的保护应用程序,使应用程序免受漏洞所累。如今是广告时间啦！目前，国内只有一个产品OneASP拥有这个功能。你们能够访问一下网站和 DEMO ，体验一下咱们强大的功能吧。双十二就要来了，但愿各位电商平台可以拒绝向「漏洞」低头 ！

OneRASP（实时应用自我保护）是一种基于云的应用程序自我保护服务， 能够为软件产品提供实时保护，使其免受漏洞所累。