讓 Parse Double 漏洞無處藏身，工程師們必備神器！

咱們不少人都會在網上購物買東西。可是，咱們不少人都不清楚的是，不少電商網站會存在安全漏洞，好比拒絕服務漏洞問題。拒絕服務漏洞根據影響自低像高可分爲：無效、服務下降、可自恢復的服務破壞、可人工恢復的服務破壞以及不可恢復的服務破壞。

詳細來講，若是攻擊能力不足以致使目標徹底拒絕服務，但形成了目標的服務能力下降，這種效果稱之爲服務下降。而當攻擊能力達到必定程度時，攻擊就可使目標徹底喪失服務能力，稱之爲服務破壞。服務破壞又能夠分爲可恢復的服務破壞和不可恢復的服務破壞，就好像一些攻擊利用目標系統的漏洞對目標的文件系統進行破壞，致使系統的關鍵數據丟失，每每會致使不可恢復的服務破壞，即便系統從新提供服務，仍然沒法恢復到破壞以前的服務狀態。因而可知，拒絕服務漏洞是那麼可怕！

拒絕服務漏洞：Parse Double

拒絕服務漏洞是在一些遺留系統中仍然存在的老錯誤，在 Windows 與 Linux 的 JDK1.6_23 及更早 JDK1.5_27 及更早 JRE 1.4.2_29 及更早的版本中都存在這一漏洞。對於使用 Apache Tomcat 服務器的系統，若其 JRE 比較脆弱，未經受權的用戶徹底能夠耗盡其全部資源。

實現方式——實現 java.lang.Double.parseDouble() 及其相關方法中的漏洞會致使線程在解析 [2^(-1022) - 2^(-1075) : 2^(-1022) - 2^(-1076)] 範圍內的任一數字時形成線程懸停。這個缺陷能夠用來進行 DOS（拒絕服務）攻擊。例如：下面的代碼使用了較爲脆弱的方法。

Double d = Double.parseDouble(request.getParameter("d"));

攻擊者能夠發送這樣的請求，其參數 d 在上面的範圍中，例如
「0.0222507385850720119e-00306」 ，進而致使程序在處理該請求時懸停。

黑客新聞中的評論指出，BigDecimal.doubleValue 方法實際上只是將參數轉化爲字符串，而後調用 Double.parseDouble 方法。所以，很是不幸，上面的機制只有在我放棄一些精度調用 Math.pow(10, exponent)，而不使用 scaleByPowerOfTen 時會起做用。上面的版本，很遺憾，不起做用。

儘管這個錯誤已經在 JDK 1.6_24 及以後的版本獲得修復，安全行業研究機構發現許多 Java 系統可能還在運行有風險的老版本。廣泛的建議是升級系統或者單純地標準化清理後的字符串，將其傳入新的 java.math.BigDecimal() 方法，再將結果轉化爲基本 double 類型。遺憾的是，BigDecimal 的構造函數也會調用麻煩的 Double.parseDouble 代碼，所以咱們又回到了原點。最後，咱們還能夠嘗試下面的代碼，雖然不能說它高效，可是它經過了全部 Float 測試，不會像 Double.parseDouble 那樣拒絕服務。

 public static double parseDouble(String value) 
   String normalString = normalizeDoubleString(value);
   int offset = normalString.indexOf('E');
   BigDecimal base;
   int exponent;
   if (offset == -1) {
     base = new BigDecimal(value);
     exponent = 0;
     } else {
    base = new BigDecimal(normalString.substring(0, offset));
   exponent = Integer.parseInt(normalString.charAt(offset + 1) == '+' ?
    normalString.substring(offset + 2)
    normalString.substring(offset + 1));
     }
    return base.scaleByPowerOfTen(exponent).doubleValue();
     }

這種方式雖然說有必定效果，但效率並非很高。由於國內還有很多電商網站正在使用老的 Java 版本，因此這種漏洞被攻擊還時有發生。

RASP：讓 Parse Double 漏洞無處藏身

根據 Gartner 的報告,超過 80% 的攻擊是以應用層爲目標的,而大多數破壞活動是經過應用程序進行的。他們發現,軟件提供商對應用程序安全防禦的投 入廣泛不足。Gartner 的分析師兼研究員 Joseph Feiman 提出了「實時應用自我保護 (Runtime Application Self-Protection)」 的概念。

做爲一種新型應用安全保護技術，RASP 將保護程序想疫苗同樣注入到應用程序和應用程序融爲一體，能實時檢測和阻斷安全攻擊，使應用程序具有自我保護能力。好比說針對拒絕服務漏洞 Parse Double 來講， RASP 定製了響應的規則集和防禦類，而後採用 java 字節碼技術，在被保護的類被加載進虛擬機以前，根據規則對被保護的類進行修改，將防禦類織入到到被保護的類中，從而保證了咱們服務器的安全。

OneRASP（實時應用自我保護）是一種基於雲的應用程序自我保護服務， 能夠爲軟件產品提供實時保護，使其免受漏洞所累。