php条件竞争漏洞,代码审计--12--竞争条件漏洞

1、漏洞描述

漏洞描述：

Web 应用程序可以同时处理很多HTTP 请求。开发人员经常在不考虑线程安全的情况下使用变量。从而导致对有些共享资源进行混乱操作，整个业务处理流程改变。

在java中比较容易出现条件竞争的问题，很多Servlet开发者常常会忽视一些问题，那就是Servlet实际上是一个单件，除非Servlet实现SingleThreadModel接口。当多线程访问时(即多个用户一起访问时)，每个线程得到的实际上是同一个Servlet实例，这样的话，他们对实例的成员变量的修改其实会影响到别人。下面是Servlet的多线程机制：

当客户端第一次请求某个Servlet时，Servlet容器将会根据 web.xml配置文件实例化这个Servlet类。当有新的客户端请求该Servlet时，一般不会再实例化该Servlet类，也就是有多个线程在使用这个实例。Servlet容器会自动使用线程池等技术来支持系统的运行，如下图：

漏洞案例：

浦发信用卡中心当时一个临时活动，业务类似限时限名额抢购活动，最后实际名额超过了预设名额，导致的原因是因为共享资源没有同步好，对名额进行限制时，服务端会到数据库中查询当前抢购人员数量。

金融行业会比较多出现多线程并发提现、转账等严重问题，大部分原因可能在余额等这样的共享资源没有控制好。

2、漏洞场景复现

漏洞场景一：

定义成员变量userName属于Servlet整个类中共享的资源，在方法体中定义的局部变量name,成员变量(也就是全局变量)随着对象的存在而存在，随着对象的销毁而销毁，那么就是servlet实例只要存在，userName成员变量其实被所有线程共享，代码如下：private String userName = "Empty";

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

String name = request.getParameter("name");

if (name != null) {

userName = name;

}

response.setContentType("text/html");

PrintWriter out = response.getWriter();

out.println(userName);

out.flush();

out.close();

}

1、访问页面不输入任何参数，会返回Empty，当输入参数name为Nsfocus，如下图：

2、不输入任何参数重新访问页面会出现如下图：

发现其他线程已经修改了userName的值。

漏洞场景二：

以下代码功能为根据用户名查询用户密码，由于多线程共享同一个成员变量，导致竞争条件漏洞产生，代码如下：private static String currentUser;

private String originalUser;

protected Element createContent(WebSession s) {

ElementContainer ec = new ElementContainer();

try {

Connection connection = DatabaseUtilities.getConnection(s);

ec.addElement(new StringElement("Enter user name: "));

ec.addElement(new Input(Input.TEXT, username, ""));

currentUser = s.getParser().getRawParameter(username, "");

originalUser = currentUser;

// Store the user name

String user1 = new String(currentUser);

if (!"".equals(currentUser)) {

// Get the users info from the DB

String query = "SELECT * FROM user_system_data WHERE user_name = '" + currentUser + "'";

Statement statement = connection.createStatement(ResultSet.TYPE_SCROLL_INSENSITIVE,ResultSet.CONCUR_READ_ONLY);

ResultSet results = statement.executeQuery(query);

if ((results != null) && (results.first() == true)) {

ec.addElement("Account information for user: " + originalUser + "
");

ResultSetMetaData resultsMetaData = results.getMetaData();

ec.addElement(DatabaseUtilities.writeTable(results, resultsMetaData));

} else {

s.setMessage("'" + currentUser + "' is not a user in the WebGoat database.");

}

}

if (!user1.equals(currentUser) {

makeSuccess(s);

}

} catch (Exception e) {

e.printStackTrace();

}

return (ec);

}

1、同一浏览器分别查询jeff、dave两个用户的密码

2、分别用两个浏览器同时查询jeff和dave，如下图：

3、漏洞修复建议

1、避免使用成员变量

线程安全问题是由成员变量造成的，只要在Servlet里面的任何方法里面都不使用实例变量，那么该Servlet是线程安全的，修正场景一中的servlet代码，将成员变量修改为局部变量，代码如下:protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException

{

String userName = "Empty";

String name = request.getParameter("name");

if (name != null) {

userName = name;

}

response.setContentType("text/html");

PrintWriter out = response.getWriter();

out.println(userName);

out.flush();

out.close();

}

2、实现 SingleThreadModel 接口

该接口指定了系统如何处理对同一个Servlet的调用。如果一个Servlet被这个接口指定,那么在这个Servlet中的service方法将不会有两个线程被同时执行，当然也就不存在线程安全的问题。这种方法只要将前面的Concurrent Test类的类头定义更改为：public class TreadSafety extends HttpServlet implements SingleThreadModel

{…………………}

如果一个Servlet实现了SingleThreadModel接口，Servlet引擎将为每个新的请求创建一个单独的Servlet实例，这将引起大量的系统开销。SingleThreadModel在Servlet2.4中已不再提倡使用；