一条DSL规则拦截Spring Cloud Function漏洞攻击

最近30天左右，出现了若干个Java的漏洞，其中的一个是Spring Cloud Fuction的0Day中可以看出来。

攻击主要隐藏在HTTP的Header里。

攻击POC部分不可公开（具体内容省略一千字...)

这种情况，在没有修复漏洞之前，最直接的缓解方式，是针对攻击请求中的Header信息进行过滤拦截。

如果，软件的服务资产过多，等官方修复，再重新部署，时间来不及了， 这个时候，用HIDS查主机的Java进程信息，不一定会覆盖所有的资产检查。如果，没有对过去资产中，软件组件的资源进行信息管理，快速定位所受影响的服务器主机也比较难。

如果不能快速评估，有多少软件服务资产受到威胁，最快速的应急缓解方式，是直接针对攻击进行拦截，最快的方式，就是在网络7层，针对HTTP协议中的敏感字段，进行过滤。

从POC和各方给出的拦截方案中，有两个要在Header上进行拦截的字段：

spring.cloud.function.routing-expression

spring.cloud.function.definition

在传统的WAF上，就是创建一条拦截规则， 或者在网关上创建一个动态插件进行拦截，这个上篇文章就介绍。

如果，WAF使用的是OpenResty Edge的WAF功能，只需要写一条DSL规则就可以对Header含有特定字段的攻击请求进行拦截。

req-header("spring.cloud.function.routing-expression", "spring.cloud.function.definition") =>
    waf-mark-evil(message: "Spring Cloud Function", level: "super");

这种拦截场景，是比较常见的WAF使用场景，在已经出版的《墨守之道-Web服务安全架构与实践》一书中对这种场景，有比较细节的介绍，其中包括使用网关的方式拦截，使用OpenResty Edge WAF系统的DSL语言,编写EdgeLang的DSL规则进行拦截的案例。

引用：

https://mp.weixin.qq.com/s/TGoXW64jKIzvxVr2u0lmfQ