MISP项目中的REST搜索功能异常分析与修复

在MISP（Malware Information Sharing Platform）这一开源威胁情报共享平台中，REST API的/attributes/restSearch端点近期出现了一个值得注意的功能异常。本文将深入分析该问题的技术细节、影响范围以及解决方案。

问题现象

在MISP版本从v2.4.189升级到v2.4.195后，用户报告了一个关键功能退化问题。当通过HTTP POST请求/attributes/restSearch端点并包含"deleted": [0,1]参数时，系统返回空结果集，而相同查询在旧版本中能正常返回预期结果。

具体表现为：

• 请求体包含deleted参数时，v2.4.195返回空数组
• 移除该参数后查询恢复正常
• 问题在多个环境中重现（包括本地和AWS部署）

技术背景

MISP的REST搜索接口允许用户通过多种条件筛选属性数据。deleted参数特别设计用于控制是否包含已删除的数据项，其标准用法是：

• 0：仅包含未删除项
• 1：仅包含已删除项
• [0,1]：包含所有项（无论删除状态）

问题根源

经过开发团队分析，该问题源于两个相互关联的代码变更：

1. 初始修复：在解决另一个关于对象删除状态的bug时，修改了属性搜索逻辑
2. 副作用：新逻辑错误地导致非对象属性在设置deleted参数时完全被过滤

本质上，修复一个问题的同时引入了一个更严重的回归问题：

• 旧版本：忽略对象级别的删除状态检查
• 错误修复：过度过滤导致所有非对象属性都被排除

解决方案

开发团队在2.4分支的最新提交中（e02f8b8）彻底解决了这个问题。修复方案：

1. 保留对对象删除状态的正确检查
2. 恢复对非对象属性的正常处理
3. 确保两种情况的删除状态过滤都能正常工作

最佳实践建议

对于使用MISP REST API的用户：

1. 升级到包含修复的最新2.4版本
2. 测试时注意deleted参数的行为变化
3. 对于关键查询，建议先进行小规模测试验证

该修复确保了MISP在威胁情报共享和分析中的可靠性，特别是在处理大量标记数据时的完整性。开发团队通过这次事件也加强了对参数处理逻辑的测试覆盖，以避免类似问题的再次发生。