一、什么是DoS？

DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。拒绝服务存在于各种网络服务上，这个网络服务可以是c、c++实现的，也可以是go、java、php、python等等语言实现。

二、Java DoS的现状

在各种开源和闭源的java系统产品中，我们经常能看到有关DoS的缺陷公告，其中大部分都是耗尽CPU类型或者业务卸载类型的DoS。耗尽CPU类型的DoS大体上主要包括“正则回溯耗尽CPU、代码大量重复执行耗尽CPU、死循环代码耗尽CPU”等。而业务卸载DoS这一类型的DoS则和系统业务强耦合，一般情况下并不具备通用性。下面用几个简单例子对其进行简单描述。

0x00 无内鬼

很早以前审计过Spring Security的源码，个人感觉还是相对于shiro安全很多的，不过后面shiro也引入了一些字符的拦截机制，相比于从前，安全性已经提高很多了，最起码，出现的新洞都很水吧。

Spring Security最大的优势在于它实至名归的Security，它集成了很多东西，认证、鉴权、anti csrf、session manager、url字符拦截等等。

0x00 没事找事

最近有点茫（mang），写了几个月的CRUD代码，研究安全的兴趣越来越低了。恰巧昨晚主管发了个shiro邮件截图，看内容描述，1.8.0修复了一个auth的bypass，一开始，惯性思维认为“只有最早的两个auth bypass比较有用”，觉得后面的好几个CVE都是需要条件的鸡肋洞，索然无味。但群友好像比较感兴趣，故撩起了我的一丝兴趣。

0x00 事发

昨天又看到Dubbo公布了几个新的CVE，其中有两个RCE（CVE-2021-30179和CVE-2021-30180），一个SSRF（CVE-2021-25640），其中看到CVE-2021-30179标题是“Pre-auth RCE via Java deserialization in the Generic filter”，忽视了deserialization这个关键字，看邮件内容以为是一个新的反射任意调用洞，感觉有点东西，所以稍微跟了下细节。

0x00 事情的由来

昨天看到Dubbo公布了几个新的CVE，一个没有Credit的中危 CVE-2021-25641，一个有Credit（Github Security Lab）的低危 CVE-2021-30181，其中CVE-2021-30181漏洞邮件标题为“RCE on customers via Script route poisoning (Nashorn script injection)”，看起来是route的地方出现的问题，执行了外部传入的script，导致RCE。