自动绑定漏洞

最新推荐文章于 2023-07-27 11:37:58 发布
最新推荐文章于 2023-07-27 11:37:58 发布
阅读量1k 收藏 2
点赞数
分类专栏: 安全 文章标签: 自动绑定 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34101364/article/details/109732337
版权

文章目录

介绍

本文主要通过spring介绍自动绑定漏洞,并给出栗子和环境帮助消化。

环境下载与搭建

漏洞war包:https://github.com/3wapp/ZeroNights-HackQuest-2016,后序将会通过该源码进行举例
tomcat下载地址:https://tomcat.apache.org/download-70.cgi
在这里插入图片描述
解压tomcat到某个目录,然后修改apache-tomcat-7.0.106\conf目录下的server.xml中的端口,防止端口冲突,如果需要使用idea进行debug,参考我前面的帖子
在这里插入图片描述
将github下载出来的东西全部拷贝到webapps目录下
在这里插入图片描述

漏洞介绍

动绑定漏洞的漏洞点在于,攻击者可能将额外的HTTP请求参数绑定到一个对象上,使用这种方法来创建、修改、更新开发人员或者业务本身从未打算设计到的参数,而这些新参数反过来又会影响程序代码中不需要的新变量或对象,进而触发一些业务逻辑漏洞。

举个不严谨、但是好消化的栗子:
客户端发送请求http://aa.com/addUser2?useranme=ligoudan&password=xxx
服务端本来是应该像下面一样接受参数,一个萝卜一个坑:

	@RequestMapping("/addUser2")
    public String addUser2(HttpServletRequest request) {
        String username=request.getParameter("username");
        String password=request.getParameter("password");
        ...
    }

结果有个服务端用user类去接受参数,这时候useranme、password的值会自动赋给user对象中的对应属性:

	@RequestMapping(value = "/addUser2", method = RequestMethod.POST)
	public String resetViewQuestionHandler(@ModelAttribute User user) {
		...
	}

假设其中User 类中除了useranme、password两个属性之外,还有father这个属性,那么通过发送http://aa.com/addUser2?useranme=ligoudan&password=xxx&father=laowang,ligoudan的father就变成了laowang了。

在spring mvc中,有两个关键注解与该漏洞有关:@ModelAttribute注解和@SessionAttributes注解

@ModelAttribute注解

该注解主要有两个作用:

1、运用在方法上
会在每一个@RequestMapping标注的方法前执行,如果有返回值,则自动将该返回值加入到ModelMap中
处理器。当@RequestMapping运用于方法上时,可以分为两种情况:a、有返回值;b、没有返回值:

a、没有返回值

@ModelAttribute
public void getUser(@RequestParam(value="userName",required=false) String userName,Model model){

    User user = new User(userName,"123456");
    model.addAttribute("user", user);
}

@ModelAttribute注解getUser方法,getUser方法接收前台提交的userName数据,在model中放入user属性和数据。

@RequestMapping("/testModelAttribute")
public String testModelAttribute(ModelMap model){
    System.out.println("testModelAttribute user:"+model.get("user"));
    return "success";
}

此时如果访问/testModelAttribute,会先经过执行getUser函数,创建user对象,即也是model.get(“user”)的值。

b、有返回值
当@ModelAttribute有返回值时,又分为两种情况:

情况b-1:

@ModelAttribute
public User getUser(@RequestParam(value="userName",required=false) String userName){

    User user = new User(userName,"123456");
    return user;
}

此时,返回的数据会被隐含地放入到model中,在 model 中的 key 为 “返回类型首字母小写”,value 为返回的值。上面相当于model.addAttribute(“user”, user);

情况b-2:

@ModelAttribute("user1")
public User getUser(@RequestParam(value="userName",required=false) String userName,Model model){

    User user = new User(userName,"123456");
    return user;
}

此时,将key值修改为user1,相当于model.addAttribute(“user1”, user);

2、运用在方法的参数上:

@ModelAttribute("user")
public User getUser(Model model){
    User user = new User("Tom","123456");
    return user;
}

@RequestMapping({"/home"})
public String homeHandler(@ModelAttribute User user, Model model) {
    if (user == null) {
        model.addAttribute("error", "You don't have access");
        return "error";
    } else {
        logger.info("Welcome home ! " + user);
        return "home";
    }
}

如果访问http://aa.com/home?useranme=ligoudan,会将客户端传递过来的参数按名称注入到指定对象中,并将原来User(“Tom”,“123456”)对象,替换成User(“ligoudan”,“123456”),并赋值给homeHandler函数中的user对象,并且会将这个对象自动加入ModelMap中,便于View层使用;

view端通过${user.name}即可访问。注意这时候这个User类一定要有没有参数的构造函数,形如:

public class User {
    private String username;
    private String password;
    private Boolean isSupaAdministrata;
    private String email;
    private String answer;

    public User(String username, String password, Boolean isSupaAdministrata, String email, String answer) {
        this.username = username;
        this.password = password;
        this.isSupaAdministrata = isSupaAdministrata;
        this.email = email;
        this.answer = answer;
    }

    public User() {
    }
    ...
}

如果不想被替换呢,可以稍微改动一下homeHandler函数:

@RequestMapping({"/home"})
public String homeHandler(@ModelAttribute("newUser")User user, Model model) {
    if (user == null) {
        model.addAttribute("error", "You don't have access");
        return "error";
    } else {
        logger.info("Welcome home ! " + user);
        return "home";
    }
}

这是再访问http://aa.com/home?useranme=ligoudan,model数据中就会有两个值,分别为user=User[userName=Tom,password=123456]和
newUser=User[userName=Jack, password=null]。

@SessionAttributes注解

在默认情况下,ModelMap 中的属性作用域是 request 级别,也就是说,当本次请求结束后,ModelMap 中的属性将销毁。如果希望在多个请求中共享 ModelMap 中的属性,必须将其属性转存到 session 中,这样 ModelMap 的属性才可以被跨请求访问。

Spring 允许我们有选择地指定 ModelMap 中的哪些属性需要转存到 session 中,以便下一个请求对应的 ModelMap 的属性列表中还能访问到这些属性。这一功能是通过类定义处标注 @SessionAttributes(“user”) 注解来实现的。SpringMVC 就会自动将 @SessionAttributes 定义的属性注入到 ModelMap 对象,在 setup action 的参数列表时,去 ModelMap 中取到这样的对象,再添加到参数列表。只要不去调用 SessionStatus 的 setComplete() 方法,这个对象就会一直保留在 Session 中,从而实现 Session 信息的共享

举个栗子

justiceleague

@Controller
@SessionAttributes({"user"})
public class ResetPasswordController {
    private static final Logger logger = LoggerFactory.getLogger(ResetPasswordController.class);
    @Autowired
    private UserService userService;

    public ResetPasswordController() {
    }

    @RequestMapping(
        value = {"/reset"},
        method = {RequestMethod.GET}
    )
    public String resetViewHandler() {
        logger.info("Welcome reset ! ");
        return "reset";
    }

    @RequestMapping(
        value = {"/reset"},
        method = {RequestMethod.POST}
    )
    public String resetHandler(@RequestParam String username, Model model) {
        logger.info("Checking username " + username);
        User user = this.userService.findByName(username);
        if (user == null) {
            logger.info("there is no user with name " + username);
            model.addAttribute("error", "Username is not found");
            return "reset";
        } else {
            model.addAttribute("user", user);
            return "redirect:resetQuestion";
        }
    }

    @RequestMapping(
        value = {"/resetQuestion"},
        method = {RequestMethod.GET}
    )
    public String resetViewQuestionHandler(@ModelAttribute User user) {
        logger.info("Welcome resetQuestion ! " + user);
        return "resetQuestion";
    }

    @RequestMapping(
        value = {"/resetQuestion"},
        method = {RequestMethod.POST}
    )
    public String resetQuestionHandler(@RequestParam String answerReset, SessionStatus status, User user, Model model) {
        logger.info("Checking resetQuestion ! " + answerReset + " for " + user);
        if (!user.getAnswer().equals(answerReset)) {
            logger.info("Answer in db " + user.getAnswer() + " Answer " + answerReset);
            model.addAttribute("error", "Incorrect answer");
            return "resetQuestion";
        } else {
            status.setComplete();
            String newPassword = GeneratePassword.generatePassowrd(10);
            user.setPassword(newPassword);
            this.userService.updateUser(user);
            model.addAttribute("message", "Your new password is " + newPassword);
            return "success";
        }
    }
}

/reset接口就是直接对应的resetHandler()函数。在POST方式的resetHandler()函数中,先判断当前用户名是否存在,若存在则将user添加到model中,再重定向到resetQuestion中作进一步处理;这里从参数获取username并检查有没有这个用户,如果有则把这个user对象放到Model中。因为这个Controller使用了@SessionAttributes(“user”),所以同时也会自动把user对象放到session中。然后跳转到resetQuestion密码找回安全问题校验页面。

/resetQuestion接口就是直接对应的resetQuestionHandler()函数。在GET方式的resetQuestionHandler()函数中,其唯一的user参数使用了·@ModelAttribute·注解修饰,即会将传递过来的user参数按名称注入到指定对象中,而这里实际上是从session中获取user对象;在POST方式的函数中,并没有使用@ModelAttribute注解修饰参数,但是Spring MVC会自动从session中提取user,并且使用相同的逻辑,用http请求参数去自动绑定对应的用户参数,该函数的代码逻辑,先获取user对象的answer属性值来跟我们从外部表单输入的answerReset值进行比较,若相等则往下成功重置用户密码,否则报错;

点击忘记密码,进入/reset接口
在这里插入图片描述
点击check进入 /resetQuestion接口
在这里插入图片描述
抓包,修改answer参数
在这里插入图片描述
看日志,参数已经被修改
在这里插入图片描述
然后答案就输入答案了
在这里插入图片描述
当然,也可以直接改密码:
在这里插入图片描述
密码被改成了5wimming
在这里插入图片描述

edik

代码如下

@Controller
@SessionAttributes({"user"})
public class HomeController {
    private static final Logger logger = LoggerFactory.getLogger(HomeController.class);
    private static String firstSecret = "2TvoixPalca";
    @Value("${secret}")
    private String secondSecret;
    @Value("${show}")
    private Boolean showSecret;
    @Autowired
    public UserService userService;

    public HomeController() {
    }

    @ModelAttribute("secondSecret")
    public String getSecretCode() {
        logger.debug(this.secondSecret);
        return this.secondSecret;
    }

    @ModelAttribute("showSecret")
    public Boolean getShowSectet() {
        logger.debug("flag: " + this.showSecret);
        return this.showSecret;
    }

    @RequestMapping(
        value = {"/"},
        method = {RequestMethod.GET}
    )
    public String index() {
        return "index";
    }

    @RequestMapping(
        value = {"/index"},
        method = {RequestMethod.GET}
    )
    public String index2() {
        return "index";
    }

    @RequestMapping(
        value = {"/authentication"},
        method = {RequestMethod.POST}
    )
    public String auth(@RequestParam String name, @RequestParam String pass, RedirectAttributes attributes, Model model) {
        User user = this.userService.findByNamePassword(name, pass);
        if (user == null) {
            logger.debug("there is no user with name " + name);
            model.addAttribute("error", "The username or password is incorrect");
            return "/index";
        } else {
            attributes.addFlashAttribute("user", user);
            return "redirect:home";
        }
    }

    @RequestMapping(
        value = {"/home"},
        method = {RequestMethod.GET}
    )
    public String home(@ModelAttribute User user, Model model) {
        if (this.showSecret) {
            model.addAttribute("firstSecret", firstSecret);
        }

        return "home";
    }

    @RequestMapping({"/logout"})
    public String logoutHandler(SessionStatus status) {
        status.setComplete();
        return "index";
    }
}

分析上面代码可以知道,/home接口满足条件
过程类似,不再赘述。

参考:
https://xz.aliyun.com/t/1089
https://blog.csdn.net/abc997995674/article/details/80464023

5wimming
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring MVC Autobinding漏洞
糖小喵
04-14 339
危险函数: "@SessionAttributes", "@ModelAttribute" @ModelAttribute注解 在Spring mvc中,注解@ModelAttribute是一个非常常用的注解,其功能主要在两方面: 运用在参数上,会将客户端传递过来的参数按名称注入到指定对象中,并且会将这个对象自动加入ModelMap中,便于View层使用; 运用在方...
JAVA安全之Spring参数绑定漏洞CVE-2022-22965
shelter1234567的博客
12-10 1526
本篇介绍下spring中参数绑定漏洞
Spring MVC中对http请求参数进行对象绑定,造成漏洞的解决办法
feixiangzaitianye的博客
07-19 1523
利用@InitBinder注解和WebDataBinder对允许的绑定对象的属性进行设置,代码如下 在Controller层编写 设置一个允许绑定的属性数组 final String[] ALLOW_FIELD = new String[]{"token","kb_date","professionKey","quotaTypeKey","rpt_id","handPwd","userN...
spring mvc 参数绑定漏洞
03-20
NULL 博文链接:https://yfm049.iteye.com/blog/860494
CVE-2022-22965:spring参数绑定漏洞
TengChuanB的博客
12-16 2159
cve-2022-22965
关于Spring MVC同名参数绑定问题的解决方法
08-29
在Spring MVC框架中,参数绑定是一项关键功能,它允许开发者从HTTP请求中自动映射数据到控制器的方法参数。然而,当遇到同名参数时,即多个请求参数具有相同的名称,可能会引发绑定问题。本篇文章将深入探讨这个问题...
SQL注入漏洞发现和数据库监控系统.zip
最新发布
05-27
1. **漏洞扫描**:使用自动化工具,如Nessus、OpenVAS等,对目标系统进行网络扫描,查找可能存在的SQL注入漏洞。 2. **手工测试**:对扫描结果进行确认,通过构造特定的输入尝试触发异常响应,如错误信息、数据泄露...
漏洞扫描代码
11-03
使用者可以通过运行此工具,对目标系统进行自动化的SQL和XSS漏洞检测,从而提高系统的安全性。 总的来说,虽然这个代码有不足之处,但它提供了一个了解和学习安全扫描技术的起点,对于开发者来说,可以通过分析和...
比较好用的PHP防注入漏洞过滤函数代码
12-18
标题中的“比较好用的PHP防注入漏洞过滤函数代码”指的是一个PHP代码片段,用于保护Web应用程序免受SQL注入攻击。...然而,这仅是防御的一部分,最佳做法是结合使用预处理语句、输入验证、参数绑定等多层防护策略。
变量覆盖漏洞原理和总结
yggcwhat
01-16 4393
前言 哈哈哈,还是看了很多文章感觉都没说到重点,所以就写了一篇。说到变量覆盖这个漏洞,其实就是对我们程序里面的全局变量进行了个覆盖,意思就是说通过我们前端传过来的参数来控制程序里面全局变量的值,一般要发现变量覆盖漏洞,只能是代码审计了,而且一般是出现在支付、登录等等页面里面的,这个漏洞大部分都是配合其他漏洞来进行攻击的。 正文 先说一说有哪些函数可能出现这个漏洞 extract()函数,parse_str()函数,$$,import_request_variables()想这些函数就有可能出现变量覆
Spring自动绑定技术
samwang
10-27 198
Autowiring collabraotors自动绑定     1、 byType   根据类型自动绑定,如果同种类型的实例在容器中不是唯一的,将会产生异常            byName  根据属性名查找相同的实例名绑定,如属性名master,Spring 将会找名字为master的实例            constrctcor  类似于byType,在容器中找和类型一致的唯一的bea...
Spring MVC入门与数据绑定
日常记录
09-27 311
- Spring MVC是Spring体系的轻量级Web MVC框架 - Spring MVC的核心Controller控制器,用于处理请求,产生响应 - Spring MVC基于Spring IOC容器运行,所有对象被IOC管理
JAVA Web应用常见漏洞与修复建议
qq_39560975的博客
07-27 6192
跨站脚本、输入验证、代码注入等常见漏洞解析和修改方案
绑定敏感字段
wusongsong95的博客
06-11 4440
目前大部分WEB框架支持将HTTP请求参数与类的属性相匹配的而生成一个对象。因此,攻击者能够将值放入HTTP请求参数中从而绑定系统对象。 例如:在以下代码片段中, Spring MVC可以将 HTTP请求参数绑定到 User属性: @RequestMapping("/login" ) public String login(User user) { ... } 其中,User 类定义为: public class User { private String username;
登录逻辑漏洞整理集合
qq_56426046的博客
02-21 2425
如果忘记你那么容易,那我爱你干嘛!2、不安全验证邮箱/手机号。3、MVC数据对象自动绑定。4、Unicode字符处理。1.未验证邮箱/手机号。1、cookie未鉴权。5.前端验证审核绕过。2、验证码、密码回显。2、cookie鉴权。
【干货】Spring远程命令执行漏洞(CVE-2022-22965)原理分析和思考
小司机的奥拓
07-22 752
上周网上爆出Spring框架存在RCE漏洞,野外流传了一小段时间后,Spring官方在3月31日正式发布了漏洞信息,漏洞编号为CVE-2022-22965。本文章对该漏洞进行了复现和分析,希望能够帮助到有相关有需要的人员进一步研究。##
java中出现绑定异常,如何解决java.net.BindException:绑定失败:EADDRINUSE(地址已在使用中)...
weixin_35799569的博客
03-09 2066
我正在使用套接字从Android到Android使用WiFi Direct传输文件。我开始使用以下代码发送文件String[] filesPath = data.getStringArrayExtra("all_path");Intent serviceIntent = new Intent(getActivity(), FileTransferService.class);serviceInte...
分析sql注入漏洞的方法
09-13
有许多工具可用于自动化地检测和分析网站的SQL注入漏洞,例如SQLmap、Netsparker等。这些工具能够模拟攻击者的行为,自动检测应用程序中的漏洞,并给出详细的报告。通过使用这些工具,可以更全面地了解应用程序中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值