官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

【缺陷周话】第48期：动态解析代码

奇安信代码卫士 2019-08-19 16:29:38 266274

*声明：《缺陷周话》栏目系列文章由奇安信代码卫士团队原创出品。未经许可，禁止转载。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

代码审计是使用静态分析发现源代码中安全缺陷的方法，辅助开发或测试人员在软件上线前较为全面地了解安全问题,防患于未然，因此一直以来都是学术界和产业界研究的热点，并已成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

奇安信代码卫士团队基于自主研发的国内首款源代码安全检测商用工具，以及十余年漏洞技术研究的积累，推出“缺陷周话”系列栏目。每周针对 CWE、OWASP 等标准中的一类缺陷，结合实例和工具使用进行详细介绍，旨在为广大开发和安全人员提供代码审计的基础性标准化教程。

1、动态解析代码

许多编程语言都允许动态解析源代码指令。这使得程序可以执行基于用户输入的动态指令。若不经过适当的验证，程序会错误地认为由用户直接提供的指令仅会执行一些无害的操作，会正常解析并执行该指令。远程用户可以提供特定URL以将任意代码传递给eval()语句，从而导致代码执行。该种攻击会使用与目标Web服务相同的权限执行代码，包括操作系统命令。本文以JAVA语言源代码为例，分析“动态解析代码”缺陷产生的原因以及修复方法。该缺陷的详细介绍请参见CWE ID 95: Improper Neutralizationof Directives in Dynamically Evaluated Code ('Eval Injection')（http://cwe.mitre.org/data/definitions/95.html）。

2、动态解析代码的危害

攻击者可以利用该漏洞注入恶意代码访问受限的数据和文件。几乎在所有情况下，注入恶意代码都可能导致数据完整性缺失，也有可能导致执行任意代码。

从2018年1月至2019年8月，CVE中共有1条漏洞信息与其相关。漏洞信息如下：

CVE	概述
CVE-2018-7046	DISPUTED Kentico 版本9到11中的任意代码执行漏洞允许远程认证用户通过页面 - >编辑 - >模板 ->编辑模板属性来动态解析上下文代码以执行任意操作系统命令。注意：供应商修复该漏洞，授权用户可以编辑和更新ascx代码布局。

3、示例代码

3.1 缺陷代码

48-3-1代码.png

上述代码是获取 JavaScript 脚本字符串并将该字符串值作为命令执行的操作。第15行获取请求参数script，第16行调用 Context 类的静态方法 enter(),该方法会返回一个与当前线程关联的对象cx。17行对象 cx 调用initStandardObjects() 方法用于初始化标准对象，执行结果将会返回一个Scriptable 实例化对象 scope。第18行调用 evaluateString () 方法执行JavaScript 脚本字符串 code。当 script 参数值合法时，程序将会正常运行。例如，当该值为 "8 + 7 * 2" 时，result 变量被赋予的值将为 22。然而攻击者指定的语言操作既有可能是有效的，又有可能是恶意的。如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。例如，JavaScript 允许调用 Java 对象。如果攻击者计划将 " java.lang.Runtime.getRuntime().exec("shutdown -hnow")" 指定为script的值，则主机系统就会执行关机命令。

使用代码卫士对上述示例代码进行检测，可以检出“动态解析代码”缺陷，显示等级为高。在代码行第18行报出缺陷，如图1所示：

48-3-1图.png

图1：动态解析代码检测示例

3.2 修复代码

48-3-2代码.png

在上述修复代码中，在第18行调用 setClassShutter() 方法，该方法参数为ClassShutter 接口的子类，需要实现接口方法 visibleToScripts(),方法用于控制程序中的类是否对脚本可见，在代码行第23行中指定不允许脚本访问或使用 java.lang.Runtime 包下的所有类及方法。使用代码卫士对修复后的代码进行检测，可以看到已不存在“动态解析代码”缺陷。如图2所示：

48-3-2图.png