反射文件下载(RFD)

于 2024-07-25 11:03:54 发布
阅读量687 收藏 19
点赞数 17
分类专栏: Spring MVC 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46589153/article/details/140684375
版权

反射文件下载(RFD)

简介

反射文件下载(RFD)攻击首次在 Trustwave 2014 年的一篇论文中描述。该攻击类似于 XSS,因为它依赖于输入(例如查询参数、URI 变量)在响应中反射。然而,与在 HTML 中插入 JavaScript 不同,RFD 攻击依赖于浏览器切换到执行下载并根据文件扩展名(例如 .bat, .cmd)将响应视为可执行脚本(如果双击)。RFD,即 Reflected File Download反射型文件下载漏洞,是一个2014年来自BlackHat的漏洞,攻击者可以通过一个URL地址使用户下载一个恶意文件,从而危害用户的终端PC,不过这个漏洞危害上可能接近于self-xss,因为就算浏览器下载了,打开的话也还是需要自己点击打开,并不是自动打开,就比较鸡肋吧,想要利用的难度就比较高

想要实现RFD漏洞,还需要满足如下三个条件

  • 输入反射:用户输入被“反射”到响应内容,这个点的话就是说明能够控制文件的内容
  • 文件名可控: URL允许并接受用户的其他输入,攻击者将其用于将文件扩展名设置为可执行扩展名,那么后缀名就可以控制,比如sh,bat脚本之类就可以控制运行
  • 下载:响应被作为文件里的内容进行下载,这里可以控制Content-Type或者在自己的服务器上创建一个HTML文件,设置download属性,诱导点击下载。

出现形式

在 Spring MVC 中,@ResponseBody 和 ResponseEntity 方法处于风险中,因为它们可以呈现不同的内容类型,客户端可以通过 URL 路径扩展名请求这些内容。然而,请注意,仅禁用后缀模式匹配或禁用用于内容协商的路径扩展名使用不足以防止 RFD 攻击。

防范

为了全面防范 RFD,Spring MVC 在呈现响应体之前添加了 Content-Disposition:inline;filename=f.txt 标头,以建议一个固定且安全的下载文件名。仅当 URL 路径包含一个既不在白名单中也未明确注册用于内容协商的文件扩展名时才会这样做。然而,当 URL 直接输入到浏览器中时,这可能会有副作用。

许多常见的路径扩展名默认情况下被列入白名单。此外,REST API 调用通常不应直接在浏览器中使用。然而,使用自定义 HttpMessageConverter 实现的应用程序可以明确注册文件扩展名用于内容协商,对于这些扩展名将不会添加 Content-Disposition 标头。参见 Section 22.16.6, “Content Negotiation”。

注意 这最初是作为 CVE-2015-5211 的一部分引入的。以下是报告中的其他建议:

  1. 编码而不是转义 JSON 响应。这也是 OWASP XSS 的建议。有关如何使用 Spring 进行此操作的示例,请参见 spring-jackson-owasp。
  2. 将后缀模式匹配配置为关闭或限制为仅显式注册的后缀。
  3. 使用 useJaf 和 ignoreUnknownPathExtensions 属性将内容协商配置为 false,这将导致对于具有未知扩展名的 URL 返回 406 响应。然而,如果 URL 自然地预期在末尾有一个点,这可能不是一个选项。
  4. 向响应添加 X-Content-Type-Options: nosniff 标头。Spring Security 4 默认执行此操作。

在 Spring MVC 中,@ResponseBodyResponseEntity 方法允许根据请求的 URL 路径扩展名呈现不同的内容类型,这可能会使应用程序面临文件下载欺骗(Reflected File Download,RFD)攻击的风险。以下是一个例子,说明如何通过禁用路径扩展名来防止 RFD 攻击,但仅此操作并不足以完全防止此类攻击。

示例代码

首先,考虑一个简单的控制器,它根据 URL 路径扩展名返回不同的内容类型:

@RestController
public class MyController {

    @GetMapping(value = "/file", produces = "application/json")
    public ResponseEntity<String> getFileAsJson() {
        return ResponseEntity.ok("{\"key\": \"value\"}");
    }

    @GetMapping(value = "/file", produces = "text/html")
    public ResponseEntity<String> getFileAsHtml() {
        return ResponseEntity.ok("<html><body><h1>Hello World</h1></body></html>");
    }
}

在这个例子中,客户端可以通过请求 /file.json/file.html 来获得不同格式的响应。

禁用路径扩展名

为了禁用路径扩展名匹配,可以在 Spring 配置中进行以下设置:

@Configuration
@EnableWebMvc
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void configureContentNegotiation(ContentNegotiationConfigurer configurer) {
        configurer.favorPathExtension(false);
    }
}

这段代码禁用了通过路径扩展名进行内容协商。

防止 RFD 攻击的更多措施

虽然禁用路径扩展名可以防止一些类型的 RFD 攻击,但还需要采取其他措施来确保安全:

  1. 禁用内容协商的路径扩展名:禁用 favorPathExtension 只是一个步骤,确保禁用所有路径扩展名。

  2. 使用 Content-Disposition 头:确保下载的文件通过设置 Content-Disposition 头来安全处理文件下载。

  3. 验证输入:严格验证和消毒所有用户输入,包括 URL 路径和查询参数。

使用 Content-Disposition 头

这里是一个更安全的实现,展示了如何使用 Content-Disposition 头:

@RestController
public class SecureController {

    @GetMapping("/download")
    public ResponseEntity<byte[]> downloadFile() {
        byte[] content = "Sample content".getBytes();
        HttpHeaders headers = new HttpHeaders();
        headers.setContentType(MediaType.APPLICATION_OCTET_STREAM);
        headers.setContentDispositionFormData("attachment", "sample.txt");
        return new ResponseEntity<>(content, headers, HttpStatus.OK);
    }
}

在这个例子中,/download 端点会返回一个文件下载响应,并且使用 Content-Disposition 头确保内容作为附件下载。

通过这些措施,可以有效降低 RFD 攻击的风险,并确保应用程序的安全性。

Freeking1024
关注
  • 17
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring MVC的RFD-反射文件下载(cve-2020-5398)
Li-D的博客
09-16 1613
漏洞描述 Spring MVC的RFD反射文件下载漏洞)为攻击客户端的漏洞,当响应中设置了“Content-Disposition”头且filename属性是用户可控时容易受到RFD攻击。 攻击应满足以下所有条件才可成功: 1、响应header是通过org.springframework.http.ContentDisposition进行添加的; 2、文件名是通过以下方式之一设置的: ContentDisposition.Builder#filename(String) ContentDispositi
关于Spring Framework反射文件下载漏洞风险 和 解决
天弃的博客
04-20 2862
VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、 5.1.0-5.1.17、 5.0.0-5.0.18、 4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421。 CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-52..
SpringBoot1.5.8 简单解决Spring框架RFD反射文件下载)漏洞
lu200601051315的博客
09-24 1118
标题SpringBoot1.5.8 简单解决Spring框架RFD反射文件下载)漏洞 我的程序采用的是springboot+gradle模式, 修复此漏洞的版本为Spring Framework: 5.2.9 5.1.18 5.0.19 4.3.29 而我的springboot版本为1.5.8只能将spring Framework版本由默认的4.3.12升级为4.3.29。需要修改build.gradle配置文件,增加Spring Framework的版本要求: ext { springVersion
spring MVC_RFD 文件下载 (CVE-2020-5398)
小小猪的博客
12-29 798
spring MVC_RFD 文件下载 (CVE-2020-5398) 漏洞描述: Pivotal Software(Spring系列)官方发布 Spring Framework 存在 RFD反射文件下载漏洞)的漏洞报告,此漏洞为攻击客户端的漏洞,官方将漏洞严重程度评为高。报告指出,当响应中设置了“Content-Disposition”头且filename属性是用户可控时容易受到RFD攻击。攻击应满足以下所有条件才可成功: 1.header使用org.springframework.http.C.
CVE-2020-5398:VE CVE-2020-5398-Spring MVC的RFD反射文件下载)攻击
04-15
CVE-2020-5398-Spring MVC的RFD反射文件下载)攻击 在Spring Framework(版本低于5.2.3的5.2.x,版本5.1.13的5.1.x和版本5.0.16的5.0.x)中,应用程序在受到攻击时很容易受到反射文件下载RFD)攻击在响应中设置...
Spring Framework反射文件下载漏洞
05-08
Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和更旧的不受支持版本中,可能会绕过CVE-2015-5211对RFD攻击的保护,具体取决于通过使用jsessionid路径参数使用的浏览器。
RFD.rar_rfd
09-21
在无线传感器网络(Wireless Sensor Networks, WSNs)领域,数据采集是核心任务之一,而RFD.rar_rfd这个压缩包文件似乎包含了与此相关的资源。这个项目利用了CC2420芯片和Atmel的Atmega128L微控制器进行开发,开发...
rfd:生锈的文件对话框
03-20
Windows,Linux(GTK),MacOS和WASM32的生锈文件对话框。 为什么要RFD? 它在所有平台上均使用100%本机API,不会在后台生成任何进程。 它支持异步/等待语法 如果有一天您决定将程序移植到浏览器,WASM支持将为您...
WindowsFormsApplication1_rfd_
10-02
标题中的"WindowsFormsApplication1_rfd_"表明这是一个基于Windows Forms的应用程序项目,其中包含了与"RFID"(射频识别)相关的功能。RFID是一种非接触式的自动识别技术,通过无线电频率信号来识别特定目标并读取或...
OAuth2.0 or Spring Session or 单点登录流程
qq_53374893的博客
07-20 431
一句话精辟解释: 在过滤器放行的时候,偷偷的把原生的 request 和 response 对象换成了它的实现,也就是 调用getSession 的时候拿到的 其实是对redis 操作的Session。但其他的操作还是使用原生的,只不过重写的方法,调用的是子类的,也就是往 redis 里放入 Session,把原生的操作给替换了!分布式Session原理,使用子域名,的时候放入父域名的 JsessionId 然后将这个ID 的所存的内容放入Redis ,这样实现不同域名共享同一sessionID.
Vue 3 和 SpringBoot 实现文件分片上传示例
exlink2012的专栏
07-22 397
实现分片上传,并使用Spring Boot在后端保存文件。前端将文件分片并逐个上传到后端,后端接收到所有分片后再进行合并,最终保存为一个完整文件。
SpringBoot整合Elastic-Job 2.1.53版本任务调度,手动任务,动态添加任务演示
小哇
07-23 259
zookeeper安装并成功运行。
SpringMVC 控制层框架-下
woai3364的博客
07-20 1072
因此,在开发过程中,合理处理异常、避免异常产生、以及对异常进行有效的调试是非常重要的。如果张三负责的模块按照 A 方案处理异常,李四负责的模块按照 B 方案处理异常...各个模块处理异常的思路、代码、命名细节都不一样,那么就会让整个项目非常混乱。在Web 应用三层架构体系中,表述层负责接收浏览器提交的数据,业务逻辑层负责数据的处理。一个网站有 5、6个资源,其中有一个为登录资源,两个无需登录即可访问,另外三个需要登录后才能访问,如果不登录就访问那三个资源,需要拦截,并且提示登录后访问。
SpringCloud之使用 Nacos 实现高效购物车商品信息处理
最新发布
Takumilove的博客
07-24 906
通过上述步骤,我们成功实现了一个高效的购物车商品信息处理流程。使用 Nacos 来进行服务发现,并结合手写的负载均衡策略,确保了服务调用的高可用性和稳定性。这样不仅提升了系统的性能,还能给用户带来更好的购物体验。
springboot】中使用--WebMvcConfigurer
2201_75743716的博客
07-19 908
import com/*** 将请求参数字符串转为 DeviceInfo");} }/*** 将请求参数字符串转为 DeviceInfo");} }/*** 将请求参数字符串转为 DeviceInfo");import org/*** 将请求参数字符串转为 DeviceInfo");} }/**
SpringBoot启动命令过长
tiantiantbtb的博客
07-24 92
Error running 'DromaraApplication': Command line is too long. Shorten command line for DromaraApplication or also for Spring Boot default configuration?
Springboo3中使用虚线程
java scala
07-19 379
Java中的虚线程类似Go中的协程,简单来说可以通过同步编程的方式来达到异步编程模式的效果,
spring-from表单
weixin_51482243的博客
07-22 835
2.Controller定义的接口指定consumes,produces对应的是客户端请求header的Content-Type,Accept;标记在方法上,对应接口的第2层地址;500是请求头Accept=text/plain,接口代码produces=MediaType.TEXT_PLAIN_VALUE,但代码响应是某类的对象;3.面试题/接口文档-要求请求参数是int类型,测试请求参数时还是字符串,但开发的代码需要类型转换,如@RequestParam(name="xx")Integer xx,
ultraedit下载安装
08-14
UltraEdit的下载和安装非常简单。您可以登录到官方网站(http://www.ultraedit.com/downloads/uex.html),选择相应的版本进行下载。安装可以通过命令行方式进行,在本地路径执行以下命令:sudo dpkg -i uex_20.00.0.34_amd64.deb。如果提示依赖问题,您可以安装相应的依赖项,命令如下:sudo apt install -f。完成安装后,您可以在应用搜索栏中输入uex或单击搜索到的应用以运行UltraEdit。如果您需要试用30天,可以执行一些脚本命令来重新开始试用,命令如下:rm -rfd ~/.idm/uex rm -rf ~/.idm/*.spl rm -rf /tmp/*.spl。执行完成后,您将发现UltraEdit可以重新试用30天。如果有任何功能方面的使用问题,您可以参考百度百科(https://baike.baidu.com/item/ultraedit/138217?fr=aladdin)和知乎(https://zhuanlan.zhihu.com/p/102707467)上的详细介绍。<span class="em">1</span><span class="em">2</span> #### 引用[.reference_title] - *1* [逆向学习-UltraEdit安装](https://blog.csdn.net/m0_47470899/article/details/127549102)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [Ubuntu20.04下载安装UltraEdit(高级文本编辑器)](https://blog.csdn.net/xiaojinger_123/article/details/124296713)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值