hystrix页面_原创|JavaWeb中常见的信息泄漏—Hystrix面板

点击上方“蓝字”关注我们了解更多精彩关于Hystrix

在微服务的应用场景中&＃xff0c;通常会有很多层的服务调用。应用程序有数十个依赖关系&＃xff0c;每个依赖关系在某些时候不可避免的会出现问题(例如调用响应时间过长或不可用)。

如果一个底层服务出现问题&＃xff0c;由于服务与服务之间的依赖性&＃xff0c;故障会被向上传播给用户。那么就需要一种机制&＃xff0c;当底层服务不可用时&＃xff0c;可以阻断故障的传播。
在SpringCloud中提供这个机制的组件就是断路器Hystrix。大致的工作流程如下图&＃xff1a;

在微服务架构下&＃xff0c;通常会有多个层次的服务调用。上图是微服架构下, 浏览器端通过API访问后台微服务的一个示意图&＃xff0c;服务B因为某些原因失败&＃xff0c;变得不可用&＃xff0c;所有对服务B的调用都会超时。
当对B的调用失败达到一个特定的阀值(5秒之内发生20次失败是Hystrix定义的缺省值)&＃xff0c; 链路就会被处于open状态&＃xff0c;之后所有所有对服务B的调用都不会被执行&＃xff0c;取而代之的是由断路器提供的一个表示链路open的Fallback消息。
Hystrix提供了相应机制&＃xff0c;可以让开发者定义这个Fallbak消息。Fallback可以是另一个由Hystrix保护的服务调用&＃xff0c;也可以是固定的值。Fallback也可以设计成链式调用&＃xff0c;先执行某些逻辑&＃xff0c;再返回Fallback。
简单来说类似电闸&＃xff0c;当电路中出现过载时就会断电保证安全。Hystrix可以检测到服务的可用性&＃xff0c;但是不够直观。使用HystrixDashboard会提供一个监控平台&＃xff0c;方便查看服务的可用性。

具体实现

Dashboard是一个统一的断路器监控平台&＃xff0c;一般会新建一个项目,引入相关依赖:

org.springframework.cloudgroupId> spring-cloud-starter-hystrix-dashboardartifactId>dependency>然后用&＃64;EnableHystrixDashboard注解Spingboot启动类,开启hystrixDashboard:

&＃64;SpringBootApplication&＃64;EnableHystrixDashboardpublic class EurekaHystrixMonitorApplication { public static void main(String[] args) { SpringApplication.run(EurekaHystrixMonitorApplication.class, args); } }

启动项目后访问/hystrix即可访问Hystrix Dashboard&＃xff1a;

Hystrix Dashboard共支持三种不同的监控方式:1.默认的集群监控&＃xff1a;通过URL:
turbine-hostname:port/turbine.stream开启&＃xff0c;实现对默认集群的监控。2.指定的集群监控&＃xff1a;通过URL:
turbine-hostname:port/turbine.stream?cluster&＃61;[clusterName]开启&＃xff0c;实现对clusterName集群的监控。3.单体应用的监控&＃xff1a;通过URL
/hystrix-app:port/hystrix.stream开启&＃xff0c;实现对具体某个服务实例的监控。(从springboot2开始&＃xff0c;actuator都是要在请求路径加上/actuator&＃xff0c;也就是hystrix-app:port/actuator/hystrix.stream)。利用思路不考虑Hystrix的底层实现以及数据生成&＃xff0c;HystrixDashboard实际上是通过一系列的js解析实现的。首先是可以通过监控面板去查看一些敏感信息的&＃xff0c;再者可以进行ssrf的利用&＃xff1a;
可以通过相关接口配置监控&＃xff1a;

/hystrix/monitor?stream&＃61;/proxy.stream?origin&＃61;填入被监控的服务地址(这里是dnslog地址)&＃xff0c;填写title&＃xff0c;点击Monitor Stream进行监控&＃xff1a;

可以看到成功在dnslog接收到相关请求&＃xff1a;

简单查看下相关的源代码&＃xff0c;点击MonitorStream按钮后触发的是如下的js function&＃xff1a;

获取用户输入的内容#stream后进行相关的URI编码&＃xff0c;然后通过location.href进行跳转&＃xff0c;跳转到/hystrix/monitor页面。查看相关源代码&＃xff0c;这里重新对用户的输入stream进行了组装&＃xff0c;将其作为/proxy.stream接口的origin参数的值&＃xff0c;也就是说&＃xff0c;访问/hystrix/monitor?stream&＃61;接口实际上最终调度的是/proxy.stream?origin&＃61;接口&＃xff1a;

在一系列的非空判断后&＃xff0c;使用EventSource对象来实现服务器的推送&＃xff1a;

因为在使用EventSource对象实现服务器推送时&＃xff0c;服务器端响应的类型为 text/event-stream 类型&＃xff0c;那么也就是说正常访问/proxy.stream?origin&＃61;结果应该返回如下&＃xff1a;

proxy.stream接口其实是一个简单的servlet实现&＃xff0c;origin参数就是前面我们输入的dnslog地址,相关的web.xml配置&＃xff1a;

ProxyStreamServletservlet-name> /proxy.streamurl-pattern>servlet-mapping>

查看相关的Java代码&＃xff1a;

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String origin &＃61; request.getParameter("origin"); String authorization &＃61; request.getParameter("authorization"); if (origin &＃61;&＃61; null) { response.setStatus(500); response.getWriter().println("Required parameter &＃39;origin&＃39; missing. Example: 107.20.175.135:7001"); return; } origin &＃61; origin.trim(); HttpGet httpget &＃61; null; InputStream is &＃61; null; boolean hasFirstParameter &＃61; false; StringBuilder url &＃61; new StringBuilder(); if (!origin.startsWith("http")) { url.append("http://"); } url.append(origin); if (origin.contains("?")) { hasFirstParameter &＃61; true; } &＃64;SuppressWarnings("unchecked") Mapparams &＃61; request.getParameterMap(); for (String key : params.keySet()) { if (!key.equals("origin") && !key.equals("authorization")) { String[] values &＃61; params.get(key); String value &＃61; values[0].trim(); if (hasFirstParameter) { url.append("&"); } else { url.append("?"); hasFirstParameter &＃61; true; } url.append(key).append("&＃61;").append(value); } } String proxyUrl &＃61; url.toString(); logger.info("\n\nProxy opening connection to: {}\n\n", proxyUrl); try { httpget &＃61; new HttpGet(proxyUrl); if (authorization !&＃61; null) { httpget.addHeader("Authorization", authorization); } HttpClient client &＃61; ProxyConnectionManager.httpClient; HttpResponse httpResponse &＃61; client.execute(httpget); int statusCode &＃61; httpResponse.getStatusLine().getStatusCode(); if (statusCode &＃61;&＃61; HttpStatus.SC_OK) {......简单的对origin进行校验&＃xff0c;例如不允许为空&＃xff0c;且仅允许http/https协议等&＃xff0c;最后EventSource根据HttpClient发起的请求返回的内容进行渲染&＃xff0c;完成监控页面的展示。
因为整个过程是通过HttpClient发起HTTP请求的&＃xff0c;同时也缺少进一步的安全限制。也就是说可以简单的进行ssrf攻击&＃xff0c;但没有相应的返回&＃xff0c;为blindssrf。例如尝试监控本地不存在的端口1234,返回Unable to connect to Command Metric Stream:

尝试监控存在的端口9999&＃xff0c;会返回相关的监控面板&＃xff1a;

这里就可以简单的利用ssrf枚举出当前localhost的端口开放情况了。那么也就是说在满足Hystrix面板自身监控任务的同时&＃xff0c;类似访问控制等安全措施就显得十分必要了。参考资料https://projects.spring.io/spring-cloud/spring-cloud.html#_circuit_breaker_hystrix_dashboard点分享点点赞点在看