让 Parse Double 漏洞无处藏身，工程师们必备神器！_double.parsedouble 存在安全问题-程序员宅基地

技术标签： OneRASP RASP

我们很多人都会在网上购物买东西。但是，我们很多人都不清楚的是，很多电商网站会存在安全漏洞，比如拒绝服务漏洞问题。拒绝服务漏洞根据影响自低像高可分为：无效、服务降低、可自恢复的服务破坏、可人工恢复的服务破坏以及不可恢复的服务破坏。

详细来说，如果攻击能力不足以导致目标完全拒绝服务，但造成了目标的服务能力降低，这种效果称之为服务降低。而当攻击能力达到一定程度时，攻击就可以使目标完全丧失服务能力，称之为服务破坏。服务破坏又可以分为可恢复的服务破坏和不可恢复的服务破坏，就好像一些攻击利用目标系统的漏洞对目标的文件系统进行破坏，导致系统的关键数据丢失，往往会导致不可恢复的服务破坏，即使系统重新提供服务，仍然无法恢复到破坏之前的服务状态。由此可见，拒绝服务漏洞是那么可怕！

拒绝服务漏洞：Parse Double

拒绝服务漏洞是在一些遗留系统中仍然存在的老错误，在 Windows 与 Linux 的 JDK1.6_23 及更早 JDK1.5_27 及更早 JRE 1.4.2_29 及更早的版本中都存在这一漏洞。对于使用 Apache Tomcat 服务器的系统，若其 JRE 比较脆弱，未经授权的用户完全可以耗尽其所有资源。

实现方式——实现 java.lang.Double.parseDouble() 及其相关方法中的漏洞会导致线程在解析 [2^(-1022) - 2^(-1075) : 2^(-1022) - 2^(-1076)] 范围内的任一数字时造成线程悬停。这个缺陷可以用来进行 DOS（拒绝服务）攻击。例如：下面的代码使用了较为脆弱的方法。

Double d = Double.parseDouble(request.getParameter("d"));

攻击者可以发送这样的请求，其参数 d 在上面的范围中，例如
“0.0222507385850720119e-00306” ，进而导致程序在处理该请求时悬停。

黑客新闻中的评论指出，BigDecimal.doubleValue 方法实际上只是将参数转化为字符串，然后调用 Double.parseDouble 方法。因此，非常不幸，上面的机制只有在我放弃一些精度调用 Math.pow(10, exponent)，而不使用 scaleByPowerOfTen 时会起作用。上面的版本，很遗憾，不起作用。

尽管这个错误已经在 JDK 1.6_24 及之后的版本得到修复，安全行业研究机构发现许多 Java 系统可能还在运行有风险的老版本。普遍的建议是升级系统或者单纯地标准化清理后的字符串，将其传入新的 java.math.BigDecimal() 方法，再将结果转化为基本 double 类型。遗憾的是，BigDecimal 的构造函数也会调用麻烦的 Double.parseDouble 代码，因此我们又回到了原点。最后，我们还可以尝试下面的代码，虽然不能说它高效，但是它通过了所有 Float 测试，不会像 Double.parseDouble 那样拒绝服务。

 public static double parseDouble(String value) 
   String normalString = normalizeDoubleString(value);
   int offset = normalString.indexOf('E');
   BigDecimal base;
   int exponent;
   if (offset == -1) {
     base = new BigDecimal(value);
     exponent = 0;
     } else {
    base = new BigDecimal(normalString.substring(0, offset));
   exponent = Integer.parseInt(normalString.charAt(offset + 1) == '+' ?
    normalString.substring(offset + 2)
    normalString.substring(offset + 1));
     }
    return base.scaleByPowerOfTen(exponent).doubleValue();
     }

这种方式虽说有一定效果，但效率并不是很高。因为国内还有不少电商网站正在使用老的 Java 版本，所以这种漏洞被攻击还时有发生。

RASP：让 Parse Double 漏洞无处藏身

根据 Gartner 的报告,超过 80% 的攻击是以应用层为目标的,而大多数破坏活动是通过应用程序进行的。他们发现,软件提供商对应用程序安全防护的投入普遍不足。Gartner 的分析师兼研究员 Joseph Feiman 提出了「实时应用自我保护 (Runtime Application Self-Protection)」的概念。

让 Parse Double 漏洞无处藏身，工程师们必备神器！

作为一种新型应用安全保护技术，RASP 将保护程序想疫苗一样注入到应用程序和应用程序融为一体，能实时检测和阻断安全攻击，使应用程序具备自我保护能力。比如说针对拒绝服务漏洞 Parse Double 来说， RASP 定制了响应的规则集和防护类，然后采用 java 字节码技术，在被保护的类被加载进虚拟机之前，根据规则对被保护的类进行修改，将防护类织入到到被保护的类中，从而保证了我们服务器的安全。

OneRASP（实时应用自我保护）是一种基于云的应用程序自我保护服务，可以为软件产品提供实时保护，使其免受漏洞所累。

本文链接：https://blog.csdn.net/OneRASP/article/details/50033711

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

从零开始搭建Hadoop_创建一个hadoop项目-程序员宅基地

文章浏览阅读331次。第一部分：准备工作1 安装虚拟机2 安装centos73 安装JDK以上三步是准备工作，至此已经完成一台已安装JDK的主机第二部分：准备３台虚拟机以下所有工作最好都在root权限下操作1 克隆上面已经有一台虚拟机了,现在对master进行克隆,克隆出另外2台子机;1.1 进行克隆21.2 下一步1.3 下一步1.4 下一步1.5 根据子机需要,命名和安装路径1.6 ..._创建一个hadoop项目

心脏滴血漏洞HeartBleed CVE-2014-0160深入代码层面的分析_heartbleed代码分析-程序员宅基地

文章浏览阅读1.7k次。心脏滴血漏洞HeartBleed CVE-2014-0160 是由heartbeat功能引入的，本文从深入码层面的分析该漏洞产生的原因_heartbleed代码分析

java读取ofd文档内容_ofd电子文档内容分析工具（分析文档、签章和证书）-程序员宅基地

文章浏览阅读1.4k次。前言ofd是国家文档标准，其对标的文档格式是pdf。ofd文档是容器格式文件，ofd其实就是压缩包。将ofd文件后缀改为.zip，解压后可看到文件包含的内容。ofd文件分析工具下载：点我下载。ofd文件解压后，可以看到如下内容：对于xml文件，可以用文本工具查看。但是对于印章文件(Seal.esl)、签名文件(SignedValue.dat)就无法查看其内容了。本人开发一款ofd内容查看器，..._signedvalue.dat

基于FPGA的数据采集系统（一）_基于fpga的信息采集-程序员宅基地

文章浏览阅读1.8w次，点赞29次，收藏313次。整体系统设计本设计主要是对ADC和DAC的使用，主要实现功能流程为：首先通过串口向FPGA发送控制信号，控制DAC芯片tlv5618进行DA装换，转换的数据存在ROM中，转换开始时读取ROM中数据进行读取转换。其次用按键控制adc128s052进行模数转换100次，模数转换数据存储到FIFO中，再从FIFO中读取数据通过串口输出显示在pc上。其整体系统框图如下：图1：FPGA数据采集系统框图从图中可以看出，该系统主要包括9个模块：串口接收模块、按键消抖模块、按键控制模块、ROM模块、D.._基于fpga的信息采集

微服务 spring cloud zuul com.netflix.zuul.exception.ZuulException GENERAL-程序员宅基地

文章浏览阅读2.5w次。1.背景错误信息：-- [http-nio-9904-exec-5] o.s.c.n.z.filters.post.SendErrorFilter : Error during filteringcom.netflix.zuul.exception.ZuulException: Forwarding error at org.springframework.cloud..._com.netflix.zuul.exception.zuulexception

邻接矩阵-建立图-程序员宅基地

文章浏览阅读358次。1.介绍图的相关概念　　图是由顶点的有穷非空集和一个描述顶点之间关系-边（或者弧）的集合组成。通常，图中的数据元素被称为顶点，顶点间的关系用边表示，图通常用字母G表示，图的顶点通常用字母V表示，所以图可以定义为:　　G=(V,E)其中，V(G)是图中顶点的有穷非空集合，E(G)是V(G)中顶点的边的有穷集合1.1 无向图：图中任意两个顶点构成的边是没有方向的1.2 有向图：图中..._给定一个邻接矩阵未必能够造出一个图

随便推点

MDT2012部署系列之11 WDS安装与配置-程序员宅基地

文章浏览阅读321次。（十二）、WDS服务器安装通过前面的测试我们会发现，每次安装的时候需要加域光盘映像，这是一个比较麻烦的事情，试想一个上万个的公司，你天天带着一个光盘与光驱去给别人装系统，这将是一个多么痛苦的事情啊，有什么方法可以解决这个问题了？答案是肯定的，下面我们就来简单说一下。WDS服务器，它是Windows自带的一个免费的基于系统本身角色的一个功能，它主要提供一种简单、安全的通过网络快速、远程将Window..._doc server2012上通过wds+mdt无人值守部署win11系统.doc

python--xlrd/xlwt/xlutils_xlutils模块可以读xlsx吗-程序员宅基地

文章浏览阅读219次。python–xlrd/xlwt/xlutilsxlrd只能读取，不能改,支持 xlsx和xls 格式xlwt只能改，不能读xlwt只能保存为.xls格式xlutils能将xlrd.Book转为xlwt.Workbook，从而得以在现有xls的基础上修改数据，并创建一个新的xls，实现修改xlrd打开文件import xlrdexcel=xlrd.open_workbook('E:/test.xlsx') 返回值为xlrd.book.Book对象,不能修改获取sheett_xlutils模块可以读xlsx吗

关于新版本selenium定位元素报错：‘WebDriver‘ object has no attribute ‘find_element_by_id‘等问题_unresolved attribute reference 'find_element_by_id-程序员宅基地

文章浏览阅读8.2w次，点赞267次，收藏656次。运行Selenium出现'WebDriver' object has no attribute 'find_element_by_id'或AttributeError: 'WebDriver' object has no attribute 'find_element_by_xpath'等定位元素代码错误，是因为selenium更新到了新的版本，以前的一些语法经过改动。..............._unresolved attribute reference 'find_element_by_id' for class 'webdriver