原文由作者授权,首发在奇安信攻防社区
https://forum.butian.net/share/2909
在Java Web代码审计中,寻找和识别路由是很关键的部分。通过注册的路由可以找到当前应用对应的Controller,其作为MVC架构中的一个组件,可以说是每个用户交互的入口点。简单介绍下Java Web中常见框架(Spring Web、Jersey)寻找路由技巧。
在Java Web代码审计中,寻找和识别路由是很关键的部分。通过注册的路由可以找到当前应用对应的Controller,其作为MVC架构中的一个组件,可以说是每个用户交互的入口点。主要负责以下几个方面的任务:
一般在代码审计时都会逐个分析对应的实现,通过梳理对应的路由接口并检查对应的业务实现,能帮助我们快速的检索代码中存在的漏洞缺陷,发现潜在的业务风险。下面简单介绍下Java Web中常见框架(Spring Web、Jersey)寻找路由技巧。
大多数Java Web框架遵循MVC(Model-View-Controller)架构。了解框架的架构和约定可以快速定位。下面简单介绍下一些技巧:
可以直接通过Controller的定义来寻找路由。
大多数框架都有约定俗成的项目结构,控制器通常位于特定的包或目录中。例如,在Spring MVC项目中,控制器类可能位于controller包下。
并且很多Java Web框架都会使用注解来标识控制器和映射请求。例如,在Spring MVC中,@Controller注解用于标记控制器类,@RequestMapping用于定义请求映射。在其他框架中,如Jersey(JAX-RS),就是@Path和@POST、@GET等注解。
当然还有一些特定的配置类,例如在Spring中,在Jersey中,ResourceConfig
类常用于配置路由。
可以通过关键字匹配的方式获取到对应的资源目录,然后逐个进行审计。下面是一些关键字的总结:
常见的注解如下:
除了使用注解的方式,还可以在对应的xml配置文件中通过配置Controller相关的bean来实现。例如下面的例子:
在spring的配置文件中做如下配置:
相关的作用如下:
上面提到的注解在 WebFlux 中依然还可以继续使用,不过 WebFlux 也提供了自己的方案Router。
其定义Controller与传统的Spring MVC有所不同,因为WebFlux是基于响应式编程模型的。在WebFlux中,需要使用RouterFunction
来路由请求到对应的处理方法。例如下面的例子:
@Configuration
public class RouterConfig {
@Autowired
private ShowAction showAction;
@Bean
public RouterFunction timerRouter() {
return RouterFunctions.route(RequestPredicates.GET("/hello"), showAction::hello)
.andRoute(RequestPredicates.GET("/time"), showAction::showTime)
.andRoute(RequestPredicates.GET("/date"), showAction::showDate)
.andRoute(RequestPredicates.GET("/times"), showAction::sendTimePerSec);
}
}
在Jersey中在资源类上使用@Path
注解来定义基础路径,然后在资源方法上使用额外的@Path
注解来指定具体的子路径。例如下面的例子
@Component
@Path("/hello")
public class HelloWorldResource {
@GET
@Produces(MediaType.TEXT_PLAIN)
public String sayHello() {
return "hello world.";
}
}
然后通过ResourceConfig
类来配置资源和路由即可:
@Component
public class AppConfig extends ResourceConfig {
AppConfig() {
register(HelloWorldResource.class);
}
}
常见的注解如下:
RestfulToolkit是一个RESTful 服务开发辅助工具集。可以根据 URI 直接跳转到对应的方法定义:
通过这个插件可以快速查找到对应的接口位置,很多时候我们知道一个api接口,想知道这个接口对应的类和位置时,查找起来很麻烦,这个插件可以很方便解决这个问题:
通过该插件可以很方便的对应用注册的路由逐个进行分析。强迫症提出一个问题,通过上述方法获取到的路由就一定全吗,会不会有遗漏的地方,如果路由信息在jar依赖里引入的能保证获取全吗?
结合上面的疑惑,很多时候应用会在框架的基础上进行魔改,然后对Controller进行拓展。例如下面的例子,自定义了一个注解@BuyerController:
然后定义了具体的Controller以及业务逻辑:
但是通过RestfulToolkit并不能获取到对应路由的定义:
而该路由对应的资源实际上是可以正常访问的:
那么此时如果仅仅依赖关键字或者IDE插件的方式进行匹配的话,很可能会有遗漏。
实际上我们可以通过分析代码,跟踪HTTP请求是如何被框架处理的,对识别负责处理特定请求的控制器也会有一定的帮助。如果可以对应用进行调试的话,通过在对应的位置下断点,即可获取对应框架所注册的全部路由:
当一个HTTP请求到达Spring Web应用程序时,AbstractHandlerMethodMapping
类(或其子类,如 RequestMappingHandlerMapping
)会使用 lookupHandlerMethod
方法来确定哪个控制器(controller)中的方法应该被调用来处理该请求。通过org.springframework.web.servlet.handler.AbstractHandlerMethodMapping#lookupHandlerMethod的mappingRegistry可以快速的获取应用注册的路由信息:
同样是上面对Controller进行拓展的例子,除了常规的路由以外,可以看到对应的拓展Controller的路由信息同样也获取到了:
同样的,在Spring WebFlux中,则可以通过org.springframework.web.reactive.result.method.AbstractHandlerMethodMapping#lookupHandlerMethod进行注册路由的获取:
可以看到通过mappingRegistry可以获取到当前应用注册的路由信息:
在Jersey中,则可以通过org.glassfish.jersey.server.ApplicationHandler#initialize
获取jersey注册的router,其的作用是初始化应用程序的请求处理,通过该方法可以查找并注册应用程序中的资源类(Resources)和提供者(Providers),如异常处理器、拦截器、实体过滤器等。例如根据资源类上的注解(如 @Path
)和其他配置信息,配置请求到资源方法的路由:
可以看到通过routingStage可以获取到当前jersey注册的router:
通过上面的几种方式,可以快速的定位并梳理对应的路由接口,快速的开展后续的审计工作。
除了上面提到的框架以外,类似JFinal、Struts在Java生态中也有一定的占有量。对应的方法是类似的,例如JFinal会使用Routes.add()
方法,向Routes
添加Controller
的router定义,这里就不再展开讨论了。