代码审计：发现某S通未授权JDBC反序列化漏洞

概要：

在这段代码中，我们发现了一个存在于某S通系统中的未授权JDBC反序列化漏洞。该漏洞允许攻击者通过构造特定的请求参数来触发JDBC反序列化操作，从而导致潜在的远程代码执行。

1. doPost方法分析： 该方法是一个 HttpServlet 类的 doPost 方法，用于处理 POST 请求。主要逻辑是从请求参数中获取名为 “command” 的参数值，然后通过比较 “testConnection” 和 command 的值，确定是否执行与数据库连接测试相关的操作。

<code>public void doPost(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException { String command = request.getParameter("command"); if ("testConnection".equalsIgnoreCase(command)) { this.testConnection(request, response); } }</code>

2. testConnection方法分析： 该方法是用于测试数据库连接的核心逻辑。从请求参数中获取用户名、密码、IP地址以及数据库配置信息。根据不同的数据库类型（MySQL、MSSQL、Oracle），构建不同的数据库连接URL，并通过调用connection方法测试连接的有效性。

<code>private void testConnection(HttpServletRequest request, HttpServletResponse response) throws IOException { PrintWriter out = response.getWriter(); String userName = request.getParameter("userName"); String password = request.getParameter("password"); password = Constant.instance.getDecodeString(password, Constant.instance.DB_PWD); String ip = request.getParameter("ip"); String[] values = request.getParameter("configvalues").split("\\|"); String temp = values[values.length - 2]; String result; String urlMaster; String urlCobraDGServer; if (CDGUtil.getDBType().equalsIgnoreCase("mysql")) { // MySQL数据库连接测试 } if (CDGUtil.getDBType().equalsIgnoreCase("mssql")) { // MSSQL数据库连接测试 } if (CDGUtil.getDBType().equalsIgnoreCase("oracle")) { // Oracle数据库连接测试 } }</code>

3. connection方法分析： 该方法接受数据库驱动程序类名、数据库连接URL、用户名和密码作为参数，通过JDBC连接测试，判断连接是否有效。其中涉及到反序列化操作。

<code>private String connection(String driver, String url, String userName, String password) { String result = "0"; Connection conn = null; try { Class.forName(driver); DriverManager.setLoginTimeout(2); conn = DriverManager.getConnection(url, userName, password); result = "1"; } catch (Exception var16) { log.error(var16); } finally { if (conn != null) { try { conn.close(); } catch (SQLException var15) { log.error(var15); } } } return result; }</code>

4. 前端异步请求代码分析： 通过JavaScript和Ajax进行异步请求，从用户界面获取用户名、密码、IP等信息，构造请求参数发送至服务器进行数据库连接测试。

<code>var url = '<%=request.getScheme()%>://<%=request.getServerName() + ":" + request.getServerPort() + request.getContextPath() + "/" + "DBAjax"%>'; var userName=document.getElementById("est.connection.username").value; var password= document.getElementById("est.connection.password").value; var ip = document.getElementById("est.connection.ip").value; var params = "&command=testConnection&userName="+userName+"&password="+password+"&ip="+ip+"&configvalues="+values; var myAjax = new Ajax.Request(url,{method: 'post', parameters: params,onComplete: prototype_response}); function prototype_response(request){ var result = request.responseText.trim(); if(result == "11"){ // 数据库连接成功的处理逻辑 } else { // 数据库连接失败的处理逻辑 } }</code>

5. 漏洞利用： 攻击者可以通过构造恶意请求，控制各种参数，尤其是configvalues，从而触发未授权的JDBC反序列化漏洞。通过恶意构造的请求，攻击者可以执行远程代码，进一步危害系统。

总结： 这段代码存在一个严重的未授权JDBC反序列化漏洞，攻击者可通过构造特定请求来实施攻击。为防范此类漏洞，建议立即修复代码中的安全问题，确保用户输入的参数得到适当验证和过滤。