《Java编码指南:编写安全可靠程序的75条建议》—— 指南18:不要将使用降低安全性检查的方法暴露给不可信代码-阿里云开发者社区

开发者社区> 异步社区> 正文

《Java编码指南:编写安全可靠程序的75条建议》—— 指南18:不要将使用降低安全性检查的方法暴露给不可信代码

简介: 大多数方法缺乏安全管理器检查,是因为它们不提供对系统敏感部分(如文件系统)的访问。大多数提供安全管理器检查的方法,都是在调用堆栈中的每个类和方法被执行之前进行身份验证。这个安全模型允许Java applet这样的受限制程序对核心Java库具有完全访问权限。
+关注继续查看

本节书摘来异步社区《Java编码指南:编写安全可靠程序的75条建议》一书中的第1章,第1.18节,作者:【美】Fred Long(弗雷德•朗), Dhruv Mohindra(德鲁•莫欣达), Robert C.Seacord(罗伯特 C.西科德), Dean F.Sutherland(迪恩 F.萨瑟兰), David Svoboda(大卫•斯沃博达),更多章节内容可以访问云栖社区“异步社区”公众号查看。

指南18:不要将使用降低安全性检查的方法暴露给不可信代码

大多数方法缺乏安全管理器检查,是因为它们不提供对系统敏感部分(如文件系统)的访问。大多数提供安全管理器检查的方法,都是在调用堆栈中的每个类和方法被执行之前进行身份验证。这个安全模型允许Java applet这样的受限制程序对核心Java库具有完全访问权限。它还可以防止敏感方法扮演成藏身于可信的调用堆栈中的恶意方法。

但是,某些方法使用了降低安全性检查,只检查正在调用的方法是否已授权,而不检查调用堆栈中的每一个方法。任何调用这些方法的代码必须保证它们不能代表不可信的代码。表1-2列出了这些方法。

5c8046004f292d8779202e6e58ca61ac3b770419

因为方法java.lang.reflect.Field.setAccessible()和getAccessible()被用来通知Java虚拟机(JVM)进行覆盖语言访问检查,所以它们执行标准的(甚至更严格的)安全管理器检查,因此不会出现这条指南中描述的漏洞。然而,使用这些方法时也要倍加小心,其余set()和get()字段反射方法只执行语言访问检查,因此易受到攻击。

类加载器

类加载器允许Java应用程序通过加载额外的类而在运行时动态扩展。对于每个被加载的类,JVM都会跟踪用于加载该类的类加载器。当已加载的类第一次引用另一个类时,虚拟机请求使用该类的加载器来加载被引用的类。Java的类加载器架构通过使用不同的类加载器,来控制跟加载自不同来源的代码之间的交互。这种类加载器的分离是代码分离的基础:它可以防止恶意代码获取访问并破坏可信代码。

其中几个负责加载类的方法,将它们的工作委派给了被调用方法的类加载器。类加载器会执行与类的加载有关的安全检查。因此,任何调用其中的一个类加载方法的代码,必须保证这些方法不能代表不可信的代码。这些方法如表1-3所示。

e082defbec41547708b7a16f1bba7c75e453c784

除了loadLibrary()和load()方法,列表中其他方法不执行任何安全管理器检查;它们将安全检查委托给了适当的类加载器。

在实践中,可信代码的类加载器经常允许调用这些方法,而不可信代码的类加载器可能缺少这样的特权。然而,当不可信代码的类加载器委托给可信代码的类加载器时,可信代码对于不可信代码来说是可见的。在缺乏这样的委托关系时,类加载器会确保命名空间的分离,因此,不可信代码将无法观察属于可信代码的成员,也无法调用属于可信代码的方法。

类加载器委托模型是许多Java实现及框架的基础。要避免将表1-2和表1-3中列出的方法暴露给不可信的代码。例如,试想不可信代码试图加载一个特权类的攻击场景,如果它的类加载器自身缺少加载所请求的特权类的权限,但是,类加载器可以将类的加载委托给可信类的类加载器,那么就会发生特权升级。此外,如果可信代码接受被污染的输入,那么可信代码的类加载器就会代表不可信代码,加载恶意的特权类。

具有相同的类加载器定义的类,将会存在于相同的命名空间里,但根据安全策略的不同,它们可能具有不同的特权。当特权代码与同一个类加载器加载的无特权代码(或者更少特权的代码)共存时,就会出现安全漏洞。在这种情况下,更少特权的代码可以根据特权代码声明的可访问性,自由地访问特权代码的成员。使用上述表格中API的特权代码,能绕过安全管理器检查(loadLibrary()和load()方法除外)。

该指南类似于《The CERT® Oracle® Secure Coding Standard for Java™》[Long 2012]的“SEC03-J. Do not load trusted classes after allowing untrusted code to load arbitrary classes”。许多例子也违反“SEC00-J. Do not allow privileged blocks to leak sensitive information across a trust boundary”。

违规代码示例
下面的违规代码示例将System.loadLibrary()方法的调用嵌到了doPrivileged()语句块中。

public void load(String libName) {
 AccessController.doPrivileged(new PrivilegedAction() {
  public Object run() {
   System.loadLibrary(libName);
   return null;
  }
 });
}```
这段代码是不安全的,因为它可以代表不可信代码来加载一个库。在本质上,不可信代码的类加载器可以使用这段代码来加载一个库,即使它缺乏足够的权限直接去加载。加载一个库后,不可信代码可以从该库中调用可供访问的本地方法,因为doPrivileged()语句块会妨碍安全管理器检查被应用到调用者进而执行堆栈。

非本地库的代码也容易受相关安全漏洞的影响。假设存在一个库,该库包含一个没有直接暴露的漏洞,也许就藏在一个未被使用的方法中。加载这个库可能也不会直接暴露该漏洞。然而,攻击者可以加载一个额外的库,攻破第一个库的漏洞。此外,非本地库经常使用doPrivileged语句块,这让它们成了有吸引力的攻击目标。

合规解决方案
下面的合规解决方案对代码库的名称进行了硬编码,防止了输入值被污染的可能性。它同时也减少了load()方法的可访问性,从public(公共)变为private(私有)。因此,不可信的调用者被禁止加载awt库。

private void load() {
 AccessController.doPrivileged(new PrivilegedAction() {
  public Object run() {
   System.loadLibrary("awt");
   return null;
  }
 });
}`
违规代码示例
下面的违规代码示例将一个java.sql.Connection的实例从可信代码返回到不可信代码。

public Connection getConnection(String url, String username,
  String password) {
 // ...
 return DriverManager.getConnection(url, username, password);
}```
缺少创建SQL连接所需权限的不可信代码,可以通过使用直接获取的实例,绕过这些限制。getConnection()方法是不安全的,因为它使用url参数来指示要加载的类,这个类就是数据库驱动程序。

####合规解决方案
下面的合规解决方案可以防止恶意用户提供他们自己的数据库连接URL,从而限制了它们加载不可信的驱动程序。

private String url = // Hardwired value

public Connection getConnection(String username,
  String password) {
 // ...
 return DriverManager.getConnection(this.url,
  username, password);
}`
违规代码示例(CERT Vulnerability 636312)
CERT漏洞注解VU#636312描述了一个Java 1.7.0版本第6次更新中的漏洞,该漏洞在2012年8月被广泛利用。攻击程序实际上利用了两个漏洞,另一个的描述在《The CERT® Oracle® Secure Coding Standard for Java™》[Long 2012]的“SEC05-J. Do not use reflection to increase accessibility of classes, methods, or fields”里。

该攻击程序作为一个Java applet运行。applet的类加载器确保applet不能直接调用com.sun.*包中类的方法。一个正常的安全管理器检查,可以根据调用堆栈中所有调用者方法的特权(这些特权是和类的代码源相关联的),确定是允许还是拒绝特定动作。

攻击程序的第一个目标是访问私有的sun.awt.SunToolkit类。不过,用该类的名称直接调用class.forName()方法,将会导致抛出SecurityException异常。因此,攻击程序利用了下面的代码来访问任意类,绕过了安全管理器:

private Class GetClass(String paramString)
  throws Throwable {
 Object arrayOfObject[] = new Object[1];
 arrayOfObject[0] = paramString;
 Expression localExpression =
  new Expression(Class.class, "forName", arrayOfObject);
 localExpression.execute();
 return (Class)localExpression.getValue();
}```
java.beans.Expression.execute()方法将它的工作委托给了下面的方法:

private Object invokeInternal() throws Exception {
 Object target = getTarget();
 String methodName = getMethodName();
 if (target == null || methodName == null) {
  throw new NullPointerException(
   (target == null ? "target" : "methodName") +
    " should not be null");
 }
 Object[] arguments = getArguments();
 if (arguments == null) {
  arguments = emptyArray;
 }
 // Class.forName() won't load classes outside
 // of core from a class inside core, so it
 // is handled as a special case.
 if (target == Class.class && methodName.equals("forName")) {
  return ClassFinder.resolveClass((String)arguments[0],
               this.loader);
 }
// ...`
com.sun.beans.finder.ClassFinder.resolveClass()方法将它工作委托给了它的findClass()方法:

public static Class findClass(String name)
  throws ClassNotFoundException {
 try {
  ClassLoader loader =
   Thread.currentThread().getContextClassLoader();
  if (loader == null) {
   loader = ClassLoader.getSystemClassLoader();
  }
  if (loader != null) {
   return Class.forName(name, false, loader);
  }
 } catch (ClassNotFoundException exception) {
  // Use current class loader instead
 } catch (SecurityException exception) {
  // Use current class loader instead
 }
 return Class.forName(name);
}```
虽然这个方法是在applet的上下文中调用的,但它还是使用了class.forName()来获取所请求的类。Class.forName()将该搜索委托给调用方法的类加载器。在这种情况下,调用类(com.sun.beans.finder.ClassFinder)是Java核心的一部分,因此,可信的类加载器代替了受更多限制的applet类加载器,同时可信的类加载器加载了所请求的类,它并不知道自己正在为恶意代码服务。

####合规解决方案(CVE-2012-4681)
Oracle公司通过对com.sun.beans.finder.ClassFinder.findClass()方法打补丁,在Java 1.7.0版本的第7次更新中缓解了这个漏洞。在下面这个实例中,checkPackageAccess()方法检查整个调用堆栈,确保class.forName()只为可信代码获取类。

public static Class<?> findClass(String name)
  throws ClassNotFoundException {
 checkPackageAccess(name);
 try {
  ClassLoader loader =
   Thread.currentThread().getContextClassLoader();
  if (loader == null) {
   // Can be null in IE (see 6204697)
   loader = ClassLoader.getSystemClassLoader();
  }
  if (loader != null) {
   return Class.forName(name, false, loader);
  }

 } catch (ClassNotFoundException exception) {
  // Use current class loader instead
 } catch (SecurityException exception) {
  // Use current class loader instead
 }
 return Class.forName(name);
}`

违规代码示例(CVE-2013-0422)

Java 1.7.0版本的第10次更新在2013年1月因为几个漏洞被广泛攻击。其中有一个这样的漏洞:com.sun.jmx.mbeanserver.MBeanInstantiator类给无特权代码授予了访问任何类的权限,不受当前安全策略或可访问性规则的限制。可以通过任意一个字符串来调用MBeanInstantiator.findClass()方法,并尝试返回以该字符串命名的Class对象。这个方法将它的工作委派给了MBeanInstantiator.loadClass()方法,其源代码如下所示:

/**
* Load a class with the specified loader, or with this object
* class loader if the specified loader is null.
**/
static Class<?> loadClass(String className, ClassLoader loader)
  throws ReflectionException {
 Class<?> theClass;
 if (className == null) {
  throw new RuntimeOperationsException(
   new IllegalArgumentException(
    "The class name cannot be null"),
     "Exception occurred during object instantiation");
 } try {
  if (loader == null) {
   loader = MBeanInstantiator.class.getClassLoader();
  }
  if (loader != null) {
   theClass = Class.forName(className, false, loader);
  } else {
   theClass = Class.forName(className);
  }
 } catch (ClassNotFoundException e) {
  throw new ReflectionException(
   e, "The MBean class could not be loaded");
 }
 return theClass;
}```
这个方法将动态加载指定类的任务委托给了Class.forName()方法,Class.forName()又将其工作委托给了它调用的方法的类加载器。因为调用的方法是MBeanInstantiator.loadClass(),而它使用的是核心类加载器,因此没有提供安全检查。

####合规解决方案(CVE-2013-0422)
Oracle公司在Java 1.7.0版本的第11次更新中,添加了对MBeanInstantiator.loadClass()方法的访问检查,缓解了这个漏洞。这个访问检查确保了调用者可以访问所寻求的类。

// ...
 if (className == null) {
  throw new RuntimeOperationsException(
   new IllegalArgumentException(
    "The class name cannot be null"),
    "Exception occurred during object instantiation");
 }
 ReflectUtil.checkPackageAccess(className);
 try {
  if (loader == null)
// ...`

适用性

允许不可信代码调用降低安全性检查的方法,将会导致特权升级。同样地,允许不可信代码使用直接调用者的类加载器来执行操作,可能会允许不可信代码以与直接调用者相同的权限执行。

避免使用直接调用者的类加载器实例的方法,超出了本指南的讨论范围。例如,三参数的java.lang.Class.forName()方法需要一个显式的参数,用以指定要使用的类加载器实例。

public static Class forName(String name, boolean initialize,
    ClassLoader loader) throws ClassNotFoundException```

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
DES安全编码组件
  DES安全编码组件   支持 DES、DESede(TripleDES,就是3DES)、AES、Blowfish、RC2、RC4(ARCFOUR)   DES           key size must be equal to 56   DESede(TripleDES) key size must be equal to 112 or 168   AES      
991 0
使用企业安全组导致自建SNAT网关网络不通
使用企业安全组导致自建SNAT网关网络不通
176 0
[Chromium]如何安全的使用PostTask
PostTask参数决策树 如何传递绑定的对象 官方的解释总是最权威,有疑问看这里或者直接看代码中的说明: bind_helpers.h.  传值方式 描述 this 或 对象指针 如果对象本身是一个RefCountedThread...
1217 0
+关注
异步社区
异步社区(www.epubit.com)是人民邮电出版社旗下IT专业图书旗舰社区,也是国内领先的IT专业图书社区,致力于优质学习内容的出版和分享,实现了纸书电子书的同步上架,于2015年8月上线运营。公众号【异步图书】,每日赠送异步新书。
12049
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载