当前位置：网站首页>Ognl和EL表达式以及内存马的安全研究

Ognl和EL表达式以及内存马的安全研究

2022-07-02 04:20:00 【国产大熊猫】

首先研究表达式引擎的安全问题，主要通过对比st2的ognl表达式注入和el表达式注入，我们来看看目前java安全的一些情况。

1）ognl表达式

ognl表达式注入漏洞主要出在st2这个开发框架上，我们先看看官方的漏洞地址

https://cwiki.apache.org/confluence/display/WW/Security+Bulletins

除去dos漏洞、jackson和xstream漏洞、xss漏洞，剩下的都是ognl表达式rce了

那我们可以仔细读读下面这篇文章，已经有安全巨头逐个分析ognl漏洞的机理了，给出了完整的总结。

https://www.anquanke.com/post/id/169735

2）el表达式

el表达式分为：SimpleEvaluationContext 和 StandardEvaluationContext，其中SimpleEvaluationContext默认情况下是安全的

2.1）下面这个链接是CVE-2022-22947 Spring Cloud Gateway 表达式注入的修复补丁

https://github.com/spring-cloud/spring-cloud-gateway/commit/337cef276bfd8c59fb421bfe7377a9e19c68fe1e

2.2）下面这个链接是CVE-2022-22963 Spring Cloud Function 表达式注入的修复补丁

https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f

通过上面两个例子我们可得治，在业务允许的情况下应使用SimpleEvaluationContext 而不是 StandardEvaluationContext执行el表达式

2.3）而下面的链接可以看出，CVE-2022-22980 spring-data-mongodb 的修复方案则使用了过滤内容的方式而不是简单的使用SimpleEvaluationContext

https://github.com/spring-projects/spring-data-mongodb/commit/30a417d810c43dd097e117beb24ca49074c5b04d

3）通过以上内容我们可以得到一个概念，表达式注入其实很像脚本注入。系统为了增加业务效率和灵活性时可以执行外部提交的任意动态表达式，但是直接执行没有过滤或者过滤不严格的外部表达式，则会导致安全风险。可是当我们去搜索对el表达式的过滤资料时，发现我们只能搜索到一些使用信息，找不到安全过滤方面的知识。所以我们只能自己总结啦：

通过对内存马注入的各个表达式进行分析，过滤单引号是目前较好的过滤逻辑