0

我不知道我是否没有看到明显的东西......我正在阅读这些关于安全编码的建议:http ://www.javaworld.com/article/2076837/mobile-java/twelve-rules-for-developing -more-secure-java-code.html

如果我们不将类或方法声明为 final,攻击者可能会在字节码中覆盖或扩展它们,因此他可以将自己的恶意代码放入字节码中,但我不清楚攻击是如何进行的完全的。我的意思是,如何让程序使用扩展类而不是原始类......例如,如果我们有一个程序:

public class TheClass {
    public void someAction(char[] userPassword) {
        //some action
    }
}

public class Program {
    public static void main(String[] args) {
        TheClass theClass=new TheClass();
        theClass.someAction(readPasswordFromUserInput());
    }
}

并且攻击者创建了另一个恶意类:

public class TheMaliciousClass extends TheClass{
    public void someAction(char[] userPassword) {
        //some action
        //some malicious action
        //send password to attacker's website
    }
}

如何欺骗程序、用户或任何你需要欺骗的东西,以便程序使用 TheMaliciousClass 而不是 TheClass?也许我没有正确理解这一点,攻击是以其他方式完成的......无论如何,我会很感激任何解释。非常感谢!!

在 OWASP 中,他们还谈到了“终结性”中的这个安全漏洞:https ://www.owasp.org/index.php/Java_leading_security_practice

4

1 回答 1

1

那篇文章是 1998 年的。我对其中的一些规则有点怀疑。你最好遵循CERT Java Secure Coding Guidelines之类的东西,它清楚地解释了每个规则中的漏洞和正确的修复。

更新:问题是您的原始来源和您在评论中添加的来源正在做出模糊的概括。您在评论中引用的来源说“除非您有充分的理由不这样做,否则请让课程成为最终课程”(即有正当理由使课程成为非最终课程)。而且,静态分析工具无法理解“这个类应该是可扩展的”和“这个类不应该是可扩展的”。

基本上,您的问题是问题的根源。如果您控制类的实例化和使用方式,攻击者可以扩展类这一事实如何改变任何事情?正如你所推断的,他们不能!如果攻击者可以自己实例化该类,然后将其传递到您的敏感应用程序代码中,那么这可能是一个问题。

最重要的是,您需要了解这些建议仅适用于某些情况。如果攻击者无法直接访问正在运行的代码,那么此建议与您无关(例如,如果您正在编写 Web 应用程序)。如果攻击者可以物理访问正在运行的代码,那么其他一切都可能无关紧要,因为他们可以使用 jvm 为所欲为。这种可扩展性建议唯一有意义的情况是在您允许第三方将代码注入正在运行的应用程序中并且您的应用程序在 SecurityManager 下运行的应用程序中。如果这不是您的情况,那么您可以忽略此建议。

最终,许多安全建议都是微妙的,您必须了解问题才能对您的代码做出合理的决定。对于这些细致入微的建议,静态分析除了提醒您需要考虑一个类这一事实外,不会做太多事情。

于 2016-06-01T01:28:59.180 回答