《Java编码指南：编写安全可靠程序的75条建议》—— 指南21：不要让不可信代码误用回调方法的特权

本节书摘来异步社区《Java编码指南：编写安全可靠程序的75条建议》一书中的第1章，第1.21节，作者：【美】Fred Long（弗雷德•朗）, Dhruv Mohindra（德鲁•莫欣达）, Robert C.Seacord（罗伯特 C.西科德）, Dean F.Sutherland（迪恩 F.萨瑟兰）, David Svoboda（大卫•斯沃博达），更多章节内容可以访问云栖社区“异步社区”公众号查看。

指南21：不要让不可信代码误用回调方法的特权

回调提供一种注册方法的手段，在其感兴趣的事件发生时将会被调用（或回调。Java在很多地方都使用了回调， 如applet技术、响应Servlet的生命周期事件、AWT和Swing框架中的事件通知（如按钮单击事件），以及异步的读写操作等。甚至在线程的运行机制Runnable.run()中，新起一个线程时，自动执行对应的run()方法都使用到了回调技术。

在Java中，回调函数通常是使用接口来实现。下面是回调的一般结构：

public interface CallBack {
　void callMethod();
}

class CallBackImpl implements CallBack {
　public void callMethod() {
　　System.out.println("CallBack invoked");
　}
}

class CallBackAction {
　private CallBack callback;
　public CallBackAction(CallBack callback) {
　　this.callback = callback;
　}

　public void perform() {
　　callback.callMethod();
　}
}

class Client {
　public static void main(String[] args) {
　　CallBackAction action =
　　　new CallBackAction(new CallBackImpl());
　　// ...
　　action.perform(); // Prints "CallBack invoked"
　}
}```
回调方法的调用通常没有特权的变化，这意味着，执行它们的上下文的特权可能比声明它们的上下文的多。如果这些回调方法接受不可信代码的数据，那么就有可能发生特权升级。

根据Oracle的安全编码指南[SCG 2010]：

从系统调用回调方法通常具有完全权限。恶意代码在执行操作时会出现在栈上——这似乎是一个合理的期望，但事实并非如此。恶意代码可以设置一个对象，用来将回调过渡给一个经过安全检查的操作。例如，一个文件选择器对话框，可以从用户动作中操作文件系统，这就可能导致恶意代码发送某些事件。另外，恶意代码可以通过将看上去无害的东西伪装成一个文件选择器来重定向用户事件。

这条指南是指南17的一个实例，并且和《The CERT® Oracle® Secure Coding Standard for Java™》[Long 2012]的“SEC01-J.Do not allow tainted variables in privileged blocks”有关。

####违规代码示例
下面的违规代码示例使用UserLookupCallBack类实现CallBack接口，通过给定的用户ID查找用户名。这个查找代码假定这些信息在/etc/passwd文件中，这需要提升特权才能打开。因此，Client类使用提升的特权（在doPrivileged语句块中）来调用所有回调。

public interface CallBack {
　void callMethod();
}

class UserLookupCallBack implements CallBack {
　private int uid;
　private String name;
　public UserLookupCallBack(int uid) {
　　this.uid = uid;
　}

　public String getName() {
　　return name;
　}

　public void callMethod() {
　　try (InputStream fis = new FileInputStream("/etc/passwd")) {
　　　// Look up uid & assign to name
　　} catch (IOException x) {
　　　name = null;
　　}
　}
}

final class CallBackAction {
　private CallBack callback;

　public CallBackAction(CallBack callback) {
　　this.callback = callback;
　}

　public void perform() {
　　AccessController.doPrivileged(new PrivilegedAction() {
　　　public Void run() {
　　　　callback.callMethod();
　　　　return null;
　　　}
　　});
　}
}`
这段代码可以被客户端安全地使用，如下所示：

public static void main(String[] args) {
　int uid = Integer.parseInt(args[0]);
　CallBack callBack = new UserLookupCallBack(uid);
　CallBackAction action = new CallBackAction(callBack);

　// ...
　action.perform(); // Looks up user name
　System.out.println("User " + uid + " is named " +
　　　　　　　　　　 callBack.getName());
}```
然而，攻击者可以通过注册MaliciousCallBack实例，使用CallBackAction和提升的特权执行恶意代码：

class MaliciousCallBack implements CallBack {
　public void callMethod() {
　　// Code here gets executed with elevated privileges
　}
}
// Client code
public static void main(String[] args) {
　CallBack callBack = new MaliciousCallBack();
　CallBackAction action = new CallBackAction(callBack);
　action.perform(); // Executes malicious code
}`
合规解决方案（回调自己调用doPrivileged块）
根据Oracle公司的安全编码指南[SCG 2010]：

按照惯例，PrivilegedAction的实例和PrivilegedExceptionAction的实例可以提供给不可信代码，但不能以调用者提供的动作调用doPrivileged。

下面的合规解决方案将doPrivileged()的调用从CallBackAction代码中移到了它自己的回调里。

public interface CallBack {
　void callMethod();
}

class UserLookupCallBack implements CallBack {
　private int uid;
　private String name;
　public UserLookupCallBack(int uid) {
　　this.uid = uid;
　}

　public String getName() {
　　return name;
　}

　public final void callMethod() {
　　AccessController.doPrivileged(new PrivilegedAction<Void>() {
　　　public Void run() {
　　　　try (InputStream fis =
　　　　　new FileInputStream("/etc/passwd")) {
　　　　　// Look up userid and assign to
　　　　　// UserLookupCallBack.this.name
　　　　} catch (IOException x) {
　　　　　UserLookupCallBack.this.name = null;
　　　　}
　　　　return null;
　　　}
　　});
　}
}

final class CallBackAction {
　private CallBack callback;

　public CallBackAction(CallBack callback) {
　　this.callback = callback;
　}

　public void perform() {
　　callback.callMethod();
　}
}```
这段代码的行为和之前一样，但攻击者不能再以提升的特权执行恶意回调代码。即使攻击者可以通过使用CallBackAction类的构造函数传递一个恶意的回调实例，代码也不能以提升的特权执行，因为恶意实例必须包含的doPrivileged语句块没有和可信代码一样的权限。此外，因为CallBackAction类已被声明为final，所以它不能被子类化，从而不能覆盖perform()方法。

合规解决方案（将回调声明为final）
下面的合规解决方案通过将UserLookupCallBack类声明为final来防止callMethod()被覆盖。

final class UserLookupCallBack implements CallBack {
　// ...
}

// Remaining code is unchanged`

适用性

通过回调暴露敏感方法可能导致特权误用和任意代码执行。