深入解析ApacheSkyWalkingCVE-2020-9483SQL注入漏洞

### 引言
Apache SkyWalking 是一款功能全面的开源应用性能监控系统，支持指标监控、分布式追踪以及分布式系统性能诊断等功能。近期，安全研究社区注意到Apache SkyWalking存在一个严重的SQL注入漏洞，漏洞编号为CVE-2020-9483。此漏洞允许攻击者通过未授权的GraphQL接口发送恶意请求，进而可能泄露敏感数据。

### 调试环境搭建
为了深入研究这一漏洞，首先需要搭建一个可调试的环境。根据GitHub上的官方文档，可以直接从官网下载编译好的Apache SkyWalking版本。具体步骤包括：
1. 下载编译好的SkyWalking版本：[下载链接](https://www.apache.org/dyn/closer.cgi/skywalking//apache-skywalking-apm-.tar.gz)
2. 编辑`oapService.sh`脚本，添加调试命令并启动服务。
3. 下载SkyWalking源码：[源码链接](https://www.apache.org/dyn/closer.cgi/skywalking//apache-skywalking-apm--src.tgz)
4. 将源码导入IDEA，并配置Remote Configuration，设置module classpath为oap-server，完成远程调试环境的搭建。

### 漏洞分析
通过对GitHub上相关Pull Request的分析，我们找到了修复该漏洞的具体代码变更。这些变更主要集中在`getLinearIntValues`、`getMultipleLinearIntValues`等方法中，通过将SQL语句中的动态参数替换为预编译占位符“?”来防止SQL注入。例如，在`getLinearIntValues`方法中，原本直接拼接SQL语句的部分被修改为使用预编译语句，有效阻止了SQL注入攻击。

进一步追踪代码，我们发现在`org.apache.skywalking.oap.server.core.query`包下的`getLinearIntValues`方法中，参数`ids`的处理方式存在安全隐患。继续向上追踪至`org.apache.skywalking.oap.query.graphql.resolver`包中的`MetricQuery`类，该类实现了`GraphQLQueryResolver`接口，负责处理GraphQL查询请求。

### GraphQL查询机制
了解GraphQL的基本查询机制对于理解漏洞成因至关重要。GraphQL查询服务需要实现`GraphQLQueryResolver`接口，该接口本身没有定义任何方法，但通过配置文件中的schema定义，可以指定具体的查询方法。例如，`getLinearIntValues`方法的查询配置如下所示：

```graphql
query HeroNameAndFriends($episode: Episode = JEDI, $withFriends: Boolean = true) {
hero(episode: $episode) {
name
... on Droid {
primaryFunction
}
... on Human {
homePlanet
}
friends @include(if: $withFriends) {
name
}
}
}
```

通过上述查询示例，我们可以构造恶意请求，利用Union注入技术获取当前用户的敏感信息。调试结果显示，`ids`参数中的恶意语句直接拼接到SQL语句中，导致SQL注入漏洞的发生。

### 安全建议
针对此漏洞，建议用户尽快更新到最新版本的Apache SkyWalking，并启用必要的安全措施，如限制未授权的GraphQL接口访问。此外，使用专业的安全产品进行定期的安全检查和防护也是必要的。百度安全智能一体化产品已支持CVE-2020-9483的检测和拦截，有需要的用户可以联系百度安全团队获取更多帮助。

#### 参考链接
- [GitHub Commit](https://github.com/apache/skywalking/commit/4ce2e9e87398efcee4b646af1143f4dc2ae10dc7)
- [OpenWall Security Advisory](https://www.openwall.com/lists/oss-security/2020/06/15/1)