安全工程師只能向拒絕服務漏洞 Parse Double 低頭？

雙十一的硝煙還未散盡，雙十二就要來了。每逢節日期間，各大電商網站交易量暴漲，用戶蜂擁而至搶購商品。那麼這些電商平臺的安全性如何？

據不徹底統計，烏雲平臺自成立以來，已收集到的電商平臺漏洞總數達 1169 個，其中 2015 年電商平臺漏洞數爲 414 個，相比於 2014 年，漏洞總數上漲了68.98%。對於安全工程師們來講，則須要加班加點保障網站的穩定性和安全性。數千億的消費額，讓全部的電商平臺工程師，對安全問題不敢有一絲怠慢。

根據 Gartner 的報告,超過 80% 的攻擊是以應用層爲目標的,而大多數破壞活動是經過應用程序進行的。他們發現,軟件提供商對應用程序安全防禦的投 入廣泛不足。Gartner 專家指出周界安全防禦費用與應用程序安全防禦費用之比爲 23:1。在一個完美的模型中,開發人員的開發生命週期 ( SDLC ) 應當符合安全防禦標準,從而開發出安全的軟件。現實卻並不是如此，迭代開發和快速部署的流行，讓電商平臺正在經受重重考驗。

讓咱們先看一個比較廣泛的漏洞，拒絕服務漏洞：[Parse Double]()，目前還有很多平臺在採用較老的 Java 版本，因此此類漏洞還時有發生。

拒絕服務漏洞是在一些遺留系統中仍然存在的老錯誤，在 Windows 與 Linux 的 JDK1.6_23 及更早 JDK1.5_27 及更早 JRE 1.4.2_29 及更早的版本中都存在這一漏洞。對於使用 Apache Tomcat 服務器的系統，若其 JRE 比較脆弱，未經受權的用戶徹底能夠耗盡其全部資源。

實現方式——實現 java.lang.Double.parseDouble() 及其相關方法中的漏洞會致使線程在解析[2^(-1022) - 2^(-1075) : 2^(-1022) - 2^(-1076)]範圍內的任一數字時形成線程懸停。這個缺陷能夠用來進行 DOS（拒絕服務）攻擊。例如：下面的代碼使用了較爲脆弱的方法。

Double d = Double.parseDouble(request.getParameter("d"));

攻擊者能夠發送這樣的請求，其參數 d 在上面的範圍中，例如「 0.0222507385850720119e-00306」 ,進而致使程序在處理該請求時懸停。

黑客新聞中的評論指出，BigDecimal.doubleValue 方法實際上只是將參數轉化爲字符串，而後調用 Double.parseDouble 方法。所以，很是不幸，上面的機制只有在我放棄一些精度調用 Math.pow(10, exponent) ，而不使用 scaleByPowerOfTen 時會起做用。上面的版本，很遺憾，不起做用。

儘管這個錯誤已經在 JDK 1.6_24 及以後的版本獲得修復，安全行業研究機構發現許多 Java 系統可能還在運行有風險的老版本。廣泛的建議是升級系統或者單純地標準化清理後的字符串，將其傳入新的 java.math.BigDecimal() 方法，再將結果轉化爲基本 double 類型。遺憾的是，BigDecimal 的構造函數也會調用麻煩的 Double.parseDouble 代碼，所以咱們又回到了原點。最後，咱們還能夠嘗試下面的代碼，雖然不能說它高效，可是它經過了全部 Float 測試，不會像 Double.parseDouble 那樣拒絕服務。

public static double parseDouble(String value) {
String normalString = normalizeDoubleString(value);
int offset = normalString.indexOf('E');
     BigDecimal base;
     int exponent;
    if (offset == -1) {
     base = new BigDecimal(value);
     exponent = 0;
      } else {
     base = new BigDecimal(normalString.substring(0, offset));
     exponent = Integer.parseInt(normalString.charAt(offset + 1) == '+' ?
     normalString.substring(offset + 2)
     normalString.substring(offset + 1));
     }
    return base.scaleByPowerOfTen(exponent).doubleValue();
}

這種方式雖然說有必定效果，算不上聰明和高效。那麼是否有更好的方式呢？

一種新型應用安全保護技術受到了較多的關注—— RASP（實時應用安全自我保護）。RASP 將保護程序想疫苗同樣注入到應用程序和應用程序融爲一體，能實時檢測和阻斷安全攻擊，使應用程序具有自我保護能力。好比說針對拒絕服務漏洞 Parse Double 來講，RASP 定製了響應的規則集和防禦類，而後採用 java 字節碼技術，在被保護的類被加載進虛擬機以前，根據規則對被保護的類進行修改，將防禦類織入到被保護的類中，從而保證了咱們服務器的安全。

RASP 工做在運行環境時,像疫苗同樣和應用程序融爲一體,瞭解應用的上下文,從而能夠實時完全的保護應用程序,使應用程序免受漏洞所累。如今是廣告時間啦！目前，國內只有一個產品OneASP擁有這個功能。你們能夠訪問一下網站和 DEMO ，體驗一下咱們強大的功能吧。雙十二就要來了，但願各位電商平臺可以拒絕向「漏洞」低頭 ！

OneRASP（實時應用自我保護）是一種基於雲的應用程序自我保護服務， 能夠爲軟件產品提供實時保護，使其免受漏洞所累。