測試Web應用程序中的競爭條件

原創

2018-10-20 00:23

轉載自：http://www.freebuf.com/articles/network/107077.html

此篇文章主要介紹了一下什麼是“競爭條件”漏洞以及介紹了一下如何使用Burp來實現該漏洞的利用。

在對一個應用程序進行黑盒/灰盒安全測試時，我們一般都把精力集中在OWASP TOP10上，而很少去測試“競爭條件”（race condition）問題。有一個共識是使用黑盒/灰盒方法進行“競爭條件”漏洞的挖掘是非常不靠譜的，一般都會通過對代碼進行審計來發現此類問題。但是話又說回來了，隨着技術的發展和工具的日趨先進，使用黑盒/灰盒測試方法來實現“競爭條件”漏洞的挖掘的可能性大大增加。

在本篇文章中我們將會對“競爭條件”漏洞是什麼和該類漏洞可能出現的場景進行討論，並且會使用Burp來模擬整個流程。

“競爭條件”是什麼

“競爭條件”發生在多個線程同時訪問同一個共享代碼、變量、文件等沒有進行鎖操作或者同步操作的場景中。

——Wikipedia-computer_science

開發者在進行代碼開發時常常傾向於認爲代碼會以線性的方式執行，而且他們忽視了並行服務器會併發執行多個線程，這就會導致意想不到的結果。

線程同步機制確保兩個及以上的併發進程或線程不同時執行某些特定的程序段，也被稱之爲臨界區（critical section），如果沒有應用好同步技術則會發生“競爭條件”問題。下圖爲3個進程同時訪問一個程序段。

Java Web應用程序內部

在傳統的客戶端-服務器模型中，瀏覽器會將http請求發送至web服務器，然後呈現從服務器接收到的數據。當用戶嘗試通過瀏覽器向web應用程序發起多個併發請求時，瀏覽器並不會如實照做，下圖爲servlets中的多線程處理。

設想一個基於Java的web應用運行在Apache Tomcat上，該應用包含一個與Java servlet進行交互的容器組件，這個組件負責servlet的生命週期管理，並且負責將url映射到對應的servlet。當web服務器接收到請求時，它會將該請求轉發給對應的容器，容器將會創建一個線程來處理該請求，創建一個HTTP請求和響應對象，並將這些對象傳遞給一個線程。

在我們假設的場景中，該容器並沒有顧及到線程安全（當一段代碼能夠在多個線程同時訪問時還能保證自由競爭條件，我們就說它是線程安全的，線程安全應該由開發人員來處理）。

攻擊者使用自動化腳本同時向服務器發起多個請求，這會導致容器生成多個線程，而且這些線程是並行執行的，開發人員在進行代碼開發時是很難考慮到這些並行執行的線程將會導致結果的複雜性，所以說線程安全是一個應用必須要滿足的。（在多線程環境下，容器不會創建一個servlet的多個實例，這些servlet成員會共享所有運行的併發的線程。如果開發人員使用servlet成員來執行操作，則會造成“競爭條件”問題。）