不要对不可信输入进行递归处理 - Trail of Bits博客

递归的危害性

递归可以优雅、简单且实用，通常是处理嵌套结构的首选方法，无论是遍历树结构、访问图中的节点，还是解析JSON等嵌套结构。

1
2
3
4
5

public int fibonacci(int n)  {
  if(n == 0) return 0;
  else if(n == 1) return 1;
  else return fibonacci(n - 1) + fibonacci(n - 2);
}

图1：来自Stack Overflow的递归Fibonacci函数

然而，如果攻击者控制输入，通常可以轻易构造一个输入，在达到递归函数的基本情况之前耗尽堆栈。虽然开发人员经常考虑防止无限递归，但通过提供单个恶意输入触发堆栈溢出，就可能使应用程序崩溃。

1
2
3
4

Exception in thread "main" java.lang.StackOverflowError
    at Fibonacci.fibonacci(Fibonacci.java:8)
    at Fibonacci.fibonacci(Fibonacci.java:8)
    at Fibonacci.fibonacci(Fibonacci.java:8)

图2：来自Stack Overflow的StackOverflowError

虽然客户端崩溃可能带来不便，但服务器端崩溃可能会使关键服务瘫痪，即使有DDoS保护也是如此。在具有可用性要求的应用程序中，这是一个具有潜在实际危害的真实风险。

Protobuf Java案例研究

为了说明这些漏洞如何在实践中显现，让我们研究在Google的协议缓冲区（Protobuf）库中发现CVE-2024-7254的过程。这个问题表明即使是安全意识强的组织也可能忽略递归处理漏洞。

根据Protobuf的官方文档：

协议缓冲区是Google的语言中立、平台中立、可扩展的结构化数据序列化机制——类似于XML，但更小、更快、更简单。（来源）

解析不可信数据 notoriously tricky，安全研究人员已经针对每种格式的解析器进行了研究。Google开发了协议缓冲区，以提供一种序列化交换格式，并在各种语言中自动生成解析器。它们在Google内部和更大的生态系统中被广泛使用。

然而，它们也容易受到递归错误攻击。

例如，攻击者可以通过发送以下单个消息来使解析外部消息的Java应用程序崩溃：

1
2

with open("recursive.data", "wb") as f:
    f.write(bytearray([19] * 5_000_000))

图3：Protobuf中的恶意消息

此消息将抛出StackOverflowError。问题在于Protobuf如何解析未知字段。根据Protobuf文档：

未知字段是格式良好的协议缓冲区序列化数据，表示解析器无法识别的字段。例如，当旧二进制文件解析具有新字段的新二进制文件发送的数据时，这些新字段在旧二进制文件中成为未知字段。

当这个问题与Groups（一个已弃用但由于向后兼容性仍被解析的功能）结合时，就会产生爆炸性组合：

1. 一个组可以包含另一个组
2. 如果受攻击的模式不包含组，则新组将被解析为未知字段
3. 未知组可以包含另一个组
4. 转到第2步

以下是负责解析的代码摘录：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

final boolean mergeOneFieldFrom(B unknownFields, Reader reader) throws IOException {
  int tag = reader.getTag();
  /* ... */
  switch (WireFormat.getTagWireType(tag)) {
    /* ... */
    case WireFormat.WIRETYPE_START_GROUP:
      final B subFields = newBuilder();
      /* ... */
      mergeFrom(subFields, reader);
      /* ... */
      return true;
    /* ... */
  }
}

final void mergeFrom(B unknownFields, Reader reader) throws IOException {
  while (true) {
    if (reader.getFieldNumber() == Reader.READ_DONE
        || !mergeOneFieldFrom(unknownFields, reader)) {
      break;
    }
  }
}

图4：Protobuf中的mergeFrom函数

这个漏洞的有趣之处在于它对攻击目标有一个前提条件：必须使用Protocol Buffer库的Java lite版本。对目标应用程序使用的模式没有要求。

虽然C++ API的官方文档出于安全原因建议丢弃未知字段，但它建议在解析消息后执行此操作。此时已经太晚了。

虽然Protobuf解析通常对递归攻击具有弹性（使用深度计数器），但Google在开发过程中忘记了这个代码路径。我们负责任地向Google披露了这个问题，并被分配了CVE-2024-7254。

在调查这个问题时，我们发现它也适用于其他Protobuf实现，包括Rust-protobuf，这是Rust中Protocol buffers的非官方实现。

保护你的代码

随着软件系统越来越需要处理JSON、XML和Protocol Buffers等嵌套数据格式，递归处理带来的风险也在增加。我们最初的研究主要集中在Java项目上，但对不可信输入进行递归的基本模式超越了语言边界，表明存在系统性安全风险。

以下是保护应用程序的两个具体步骤：

审计你的代码：识别处理不可信数据的递归函数，并查找对嵌套数据格式的解析操作。特别要注意处理反序列化的库代码。像我们的CodeQL查询这样的静态分析工具可以帮助简化审计过程。

实施安全措施：考虑迭代替代方案，为递归操作添加明确的深度限制，并在可能的情况下在处理前验证输入大小和嵌套深度。

以下是添加深度计数器以防止恶意递归的示例：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

public static final int MAX_DEPTH = 100;

public static int fibonacci(int n) throws InputTooBigException {
   return _fibonacci(n, 0);
}

public static int _fibonacci(int n, int depth) throws InputTooBigException  {
   if (depth >= MAX_DEPTH)
       throw new InputTooBigException();

   if(n == 0) return 0;
   else if(n == 1) return 1;
   else
       return _fibonacci(n-1, depth+1) + _fibonacci(n-2, depth+1);
}

图5：更新了深度计数器的Fibonacci函数

了解更多

要深入了解我们的发现：

• 阅读我们的白皮书《输入驱动递归：持续的安全风险》
• 查看我们于2025年2月22日在华盛顿特区首届DistrictCon上的演讲
• 尝试我们用于协助查找问题递归的CodeQL查询