1、漏洞描述
漏洞描述:
Web 应用程序可以同时处理很多HTTP 请求。开发人员经常在不考虑线程安全的情况下使用变量。从而导致对有些共享资源进行混乱操作,整个业务处理流程改变。
在java中比较容易出现条件竞争的问题,很多Servlet开发者常常会忽视一些问题,那就是Servlet实际上是一个单件,除非Servlet实现SingleThreadModel接口。当多线程访问时(即多个用户一起访问时),每个线程得到的实际上是同一个Servlet实例,这样的话,他们对实例的成员变量的修改其实会影响到别人。下面是Servlet的多线程机制:
当客户端第一次请求某个Servlet时,Servlet容器将会根据 web.xml配置文件实例化这个Servlet类。当有新的客户端请求该Servlet时,一般不会再实例化该Servlet类,也就是有多个线程在使用这个实例。Servlet容器会自动使用线程池等技术来支持系统的运行,如下图:
漏洞案例:
浦发信用卡中心当时一个临时活动,业务类似限时限名额抢购活动,最后实际名额超过了预设名额,导致的原因是因为共享资源没有同步好,对名额进行限制时,服务端会到数据库中查询当前抢购人员数量。
金融行业会比较多出现多线程并发提现、转账等严重问题,大部分原因可能在余额等这样的共享资源没有控制好。
2、漏洞场景复现
漏洞场景一:
定义成员变量userName属于Servlet整个类中共享的资源,在方法体中定义的局部变量name,成员变量(也就是全局变量)随着对象的存在而存在,随着对象的销毁而销毁,那么就是servlet实例只要存在,userName成员变量其实被所有线程共享,代码如下:
private String userName = "Empty";
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String name = request.getParameter("name");
if (name != null) {
userName = name;
}
response.setContentType("text/html");
PrintWriter out = response.getWriter();
out.println(userName);
out.flush();
out.close();
}
1、访问页面不输入任何参数,会返回Empty,当输入参数name为Nsfocus,如下图:
2、不输入任何参数重新访问页面会出现如下图:
发现其他线程已经修改了userName的值。
漏洞场景二:
以下代码功能为根据用户名查询用户密码,由于多线程共享同一个成员变量,导致竞争条件漏洞产生,代码如下:
private static String currentUser;
private String originalUser;
protected Element createContent(WebSession s) {
ElementContainer ec = new ElementContainer();
try {
Connection connection = DatabaseUtilities.getConnection(s);
ec.addElement(new StringElement("Enter user name: "));
ec.addElement(new Input(Input.TEXT, username, ""));
currentUser = s.getParser().getRawParameter(username, "");
originalUser = currentUser;
// Store the user name
String user1 = new String(currentUser);
if (!"".equals(currentUser)) {
// Get the users info from the DB
String query = "SELECT * FROM user_system_data WHERE user_name = '" + currentUser + "'";
Statement statement = connection.createStatement(ResultSet.TYPE_SCROLL_INSENSITIVE,ResultSet.CONCUR_READ_ONLY);
ResultSet results = statement.executeQuery(query);
if ((results != null) && (results.first() == true)) {
ec.addElement("Account information for user: " + originalUser + "<br><br>");
ResultSetMetaData resultsMetaData = results.getMetaData();
ec.addElement(DatabaseUtilities.writeTable(results, resultsMetaData));
} else {
s.setMessage("'" + currentUser + "' is not a user in the WebGoat database.");
}
}
if (!user1.equals(currentUser) {
makeSuccess(s);
}
} catch (Exception e) {
e.printStackTrace();
}
return (ec);
}
1、同一浏览器分别查询jeff、dave两个用户的密码
2、分别用两个浏览器同时查询jeff和dave,如下图:
3、漏洞修复建议
1、避免使用成员变量
线程安全问题是由成员变量造成的,只要在Servlet里面的任何方法里面都不使用实例变量,那么该Servlet是线程安全的,修正场景一中的servlet代码,将成员变量修改为局部变量,代码如下:
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException
{
String userName = "Empty";
String name = request.getParameter("name");
if (name != null) {
userName = name;
}
response.setContentType("text/html");
PrintWriter out = response.getWriter();
out.println(userName);
out.flush();
out.close();
}
2、实现 SingleThreadModel 接口
该接口指定了系统如何处理对同一个Servlet的调用。如果一个Servlet被这个接口指定,那么在这个Servlet中的service方法将不会有两个线程被同时执行,当然也就不存在线程安全的问题。这种方法只要将前面的Concurrent Test类的类头定义更改为:
public class TreadSafety extends HttpServlet implements SingleThreadModel
{…………………}
如果一个Servlet实现了SingleThreadModel接口,Servlet引擎将为每个新的请求创建一个单独的Servlet实例,这将引起大量的系统开销。SingleThreadModel在Servlet2.4中已不再提倡使用;