转载自:https:///article/1097
1、前言
Apache SkyWalking 是一款开源的应用性能监控系统,包括指标监控,分布式追踪,分布式系统性能诊断等。近日,百度云安全团队监测到国内某厂商发布了Apache SkyWalking SQL注入漏洞的风险通告,漏洞编号为CVE-2020-9483。当SkyWalking使用H2、MySQL或者TiDB作为存储方案时,攻击者可通过默认未授权的GraphQL接口构造恶意请求,从而获取敏感数据。本文主要由github上的漏洞补丁分析而来,若有不正确的地方还请及时指正。
2、调试环境搭建
漏洞影响、版本,根据github上项目文档,直接利用IDEA调试需要先进行编译。本文为了简单使用远程调试的方式,在官网下载编译好的版本
(https://www.apache.org/dyn/closer.cgi/skywalking//apache-skywalking-apm-.tar.gz),
编辑oapServ ice.sh加入如下调试命令并运行。
下载源码
(https://www.apache.org/dyn/closer.cgi/skywalking//ap