绕过 Spring 安全框架限制的优雅方式：JDK 9+ 中的秘密之门

引言

Spring 框架以其健壮的安全性而闻名，它通过一系列机制保护 Web 应用程序免受攻击。然而，就像任何技术一样，Spring 也不完美。最近，研究人员发现了一个利用 Java 开发工具包 (JDK) 9 及更高版本中的 API Introspector.getBeanInfo 方法来绕过 Spring 安全限制的漏洞。

漏洞条件

此漏洞在以下条件下可利用：

• 应用程序使用 Spring 4.3.x 或更低版本（此版本已不再受支持）
• 攻击者可以将任意 POJO（纯旧 Java 对象）传递给控制器端点

漏洞分析

API Introspector.getBeanInfo 方法可用于获取特定类的 JavaBean 属性信息。在 Spring 4.3.x 及更低版本中，使用 API Introspector.getBeanInfo 可以获取到 POJO 的基类 Object.class 的属性 class。进一步，可以通过该属性获取到 Class.class，从而访问类的元数据。

攻击者可以利用这一点，通过构造精心设计的 POJO，将其属性设置为敏感类的 Class.class 对象。通过将此 POJO 传递给控制器端点，攻击者可以访问和执行不受 Spring 安全限制的代码。

缓解措施

缓解此漏洞的措施包括：

• 升级到 Spring 框架的最新版本（5.x）
• 使用 Spring Security 来保护端点免受攻击
• 验证输入并确保不处理不受信任的 POJO
• 使用安全编码实践，例如输入验证和输出编码

结论

JDK 9+ 中的漏洞利用条件和分析揭示了绕过 Spring 安全限制的微妙可能性。通过了解此漏洞及其缓解措施，开发者可以采取必要的步骤来保护他们的应用程序。

示例代码（仅用于演示目的，不建议在生产环境中使用）

// 攻击者控制的恶意 POJO
public class MaliciousPOJO {

    private Class<?> clazz;

    public MaliciousPOJO() {
        try {
            clazz = Class.forName("com.example.myapp.SensitiveClass");
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }

    public Class<?> getClazz() {
        return clazz;
    }
}

// 控制器端点，接收恶意 POJO
@PostMapping("/endpoint")
public void endpoint(@RequestBody MaliciousPOJO maliciousPOJO) {
    // 反射执行恶意代码
    try {
        Method method = maliciousPOJO.getClazz().getMethod("execute");
        method.invoke(null);
    } catch (Exception e) {
        e.printStackTrace();
    }
}