描述

在某些情況下，Spring 框架容易受到反射型檔案下載 (RFD) 攻擊。該攻擊涉及惡意使用者構造一個帶有批處理指令碼副檔名的 URL，導致響應被下載而不是被渲染，並且該響應還包含一些被反射回來的輸入。

有關詳細資訊和具體示例，請參閱 Trustwave 提供的非常有用的 RFD 論文。

受影響的 Spring 產品和版本

Spring Framework 3.2.0 至 3.2.14
Spring Framework 4.0.0 至 4.1.7
Spring Framework 4.2.0 至 4.2.1
其他不受支援的版本也受到影響

緩解措施

受影響的 Spring Framework 版本使用者應按如下方式升級

對於 3.2.x 版本，請升級到 3.2.15+。
對於 4.0.x 和 4.1.x 版本，請升級到 4.1.8+。
對於 4.2.x 版本，請升級到 4.2.2+。

在上述版本中，Spring MVC 在使用 HttpMessageConverter 寫入之前會檢查 URL 是否包含副檔名，如果副檔名未知，則會新增一個“Content-Disposition”響應頭，建議下載檔名“f.txt”。預設情況下，“已知”副檔名列表包括與內建 HttpMessageConverter 實現相關的副檔名以及為內容協商目的而顯式註冊的任何其他副檔名。對於 4.x 版本，修復還包括對 SockJS URL 的 URL 檢查以及對支援 JSONP 的所有區域的 JSONP 回撥引數的驗證。

只需升級到上述版本即可保護應用程式免受 RFD 攻擊。還可以採取一些額外的步驟

對 JSON 響應進行編碼而非轉義。這也是 OWASP XSS 推薦的做法。有關如何在 Spring 中執行此操作的示例，請參閱 https://github.com/rwinch/spring-jackson-owasp。
配置字尾模式匹配為關閉狀態，或僅限於顯式註冊的字尾。
配置內容協商，將屬性“useJaf”和“ignoreUknownPathExtension”設定為 false，這將導致對帶有未知副檔名的 URL 返回 406 響應。但請注意，如果 URL 本身預期末尾會有小數點，則此選項可能不可行。
向響應新增“X-Content-Type-Options: nosniff”頭。Spring Security 4 預設執行此操作。

致謝

Trustwave 在一篇論文中描述了 RFD 攻擊。Pivotal 由 HPE 安全研究部的 Alvaro Muñoz 負責任地報告了 Spring 框架中的此問題。特別感謝 NTT DATA Corporation 的 Toshiaki Maki 和 Tomoyuki Ikeya 幫助驗證解決方案並識別了利用此漏洞的其他方法。