如何探测类似Struts 2的安全漏洞？ JFrog Xray 帮你扫描漏洞，并阻止漏洞上线

近期Struts 2的高危漏洞闹得沸沸扬扬，阿里云也发布了一则告警，提示 Struts 2存在高危漏洞，距离上一次 Struts2漏洞报出也就是半年前，于是我决定研究下漏洞形成的原理，后来的事实证明，收获不小！

于是我到 Apache 官网上看到了漏洞的描述

得到的信息：

● 通过 Jakarta Multipart parser 可以在服务器上执行任意脚本。

● 由于错误消息处理不当，导致头文件Content-Type 的内容可能被恶意注入代码。

● 是一个国内的安全机构报出的漏洞（为国内的专家点赞！）

Struts 2被曝出了漏洞，那么国内有多少服务器运行了Struts呢？看看绿盟发布的中国 Struts服务器的分布情况（数据来源：绿盟科技威胁情报中心NTI）

网上已经放出了这个漏洞的 POC代码，也就是攻破漏洞的样例脚本。截取核心部分分析攻击过程

入侵的对象是一台运行了struts2.3.20的Tomcat7服务器。

入侵的过程是客户端模拟一个 POST 请求，在 header[Content-Type] 里面注入一大段 OGNL语句（#nike=multipart/form-data…）。

入侵的结果，是在服务器上打开一个命令行终端。能打开命令行终端，也就意味着入侵者可以做任何他想做的事情，我仿佛看到了网站老板知道漏洞后的表情！

那么这个漏洞形成的原因是什么，我们来继续深八一下！

在 Github 上有 Struts2的源码：https://github.com/apache/struts

1.  匹配request.getContentType字段的逻辑不够严谨

 

Struts2在处理客户端请求时，要将请求转成StrutsRequestWrapper：

String content_type = request.getContentType();  

if (content_type != null && content_type.contains("multipart/form-data")) {

   …

} 

…

return request;

 

这里有一个条件content_type.contains("multipart/form-data")判断用的是 contains，也就是说即使你传入了” #nike=multipart/form-data…”，也能通过这个判断。

2.  在处理content-type内容的方法里存在漏洞

查看源码，可以看到在LocalizedTextUtil.findText()方法里，传入的消息体也就是POC 中构造的” #nike=multipart/form-data…”会被当作 OGNL 表达式解析执行。由于代码太长，直接上注释了，感兴趣的可以去看源码。

如果传入的 content-type 没有找到，这个内容将被当作 OGNL 表达式处理，这是漏洞的核心。

 

那么Struts OGNL 语言又是什么？Struts OGNL 全称是” Object Graph Navigation Language”，它通过简单一致的语法，可以任意存取对象的属性或者调用对象的方法，能够遍历整个对象的结构图，实现对象属性类型的转换等功能。

 

通过 OGNL 的注入，入侵者可以获取 request 的context，新建一个进程，打开命令行终端，做任何想做的事情，于是有了前面的漏洞 POC。有的攻击者甚至在windows服务器上打开了一个计算器。

漏洞分析当然少不了补丁对比，可以在 Github 上找到补丁

https://github.com/apache/struts/commit/352306493971e7d5a756d61780d57a76eb1f519a 

可以看到补丁里已经去掉了这个方法。

 

那么大家如果使用了有漏洞版本的 Struts2，需立刻按照官方建议升级，避免被攻击。

JFrog 的解决方案

其实这一切都可以提前避免，JFrog已经有成熟的解决方案。 在软件发布上线之前JFrog Xray就能够做好漏洞扫描。软件发布之后，一旦有新的漏洞被公开，Xray能够在第一时间检查已经发布的软件是否存在漏洞。

JFrog Xray漏洞扫描的原理是什么？

1.主动防御

Xray 是和 Artifactory 一起工作的。任何第三方包（例如文中的 struts2.3.5.jar）被上传到 Artifactory，都会被 Xray 进行漏洞扫描。

2. 漏洞数据库可扩展

Xray 默认自带了 NVD数据库（国家漏洞数据库），也支持 WhiteSource/Aqua/BlackDuck 等数据提供商。这些数据库包含了公开的包含漏洞的第三方包，一旦 Xray 拿到你上传包，它会发起这个包的 sha1/sha256码与漏洞数据库的 sha1/sha256码的比较，如果比对成功，则说明这个包存在漏洞 风险。

3. 和 CI 工具集成

可以看到，一旦 Xray检测到有高危漏洞的包，它会通知 Artifactory，让Jenkins 任务失败，并且阻止这个漏洞包在公司内部的下载和使用。

4. 漏洞波及范围视图

Xray不仅可以提示某个高危漏洞影响到了哪些产品，如果其他部门开发软件依赖于这些产品，Xray也会找出被影响的产品和服务，从而阻止这些产品的继续使用，防止带来更大的损失。

5. 多种通知机制

邮件通知：一旦检测到漏洞包，Xray 会发送邮件到相关负责人，进行处理。

Web Hook通知：一旦检测到漏洞包，Xray 可以触发 Web Hook通知第三方系统（例如 slack），进行处理。 

6. 支持扫描多种开发语言的包

目前 Xray 支持的语言包括： Java (Maven)，Npm，NuGet，Debian，RPM，Python (PyPI)，Docker，YUM。

总结

线上环境的安全漏洞可能会给公司带来毁灭性的灾难，之前OpenSSL 的漏洞Heartbleed， Nginx 的权限漏洞导致上千万的服务器处于被攻击的风险之中。包括 Struts，Spring等其他 Web 框架都有不少漏洞，附送漏洞查询传送门：https://web.nvd.nist.gov/view/vuln/search

 

高危漏洞不可忽视，企业技术负责人必须让自己的团队提高防范意识，提前审查第三方开源软件。使用 JFrog Xray 可以帮助团队提早发现高危漏洞，杜绝漏洞包进入生产环境。

JFrog Artifactory: http://www.jfrogchina.com/artifactory/

JFrog Xray: 

http://www.jfrogchina.com/xray/

关于JFrog

公司成立于2008年，在美国、以色列、法国和西班牙，中国北京市拥有超过200名员工。JFrog 拥有3000多个付费客户，其中知名公司包括如Netflix、思科、谷歌、亚马逊、腾讯、华为。最近，JFrog 连续第二年被德勤评选为50家增长最快的技术公司之一，还被评为硅谷增长最快的私营企业之一。