动态编译Java代码

最新推荐文章于 2024-08-09 01:33:04 发布
原创 最新推荐文章于 2024-08-09 01:33:04 发布 · 358 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #信息安全

本文介绍了一种在Java中实时编译和执行代码的技术,利用ToolProvider类进行编译,随后在沙箱环境中运行。虽然增加了灵活性,但也带来了严重的安全问题,如允许执行恶意代码。文章通过示例代码详细解释了这一过程,并讨论了Java安全管理器的作用。

Java使得在运行时编译Java代码成为可能…任何Java代码!

编译的入口点是ToolProvider类。它的Javadoc如下:

Provides methods for locating tool providers, for example, providers of compilers. This class complements the functionality of ServiceLoader.

翻译一下就是,提供用于定位工具提供者(例如,编译器的提供者)的方法。此类补充了ServiceLoader的功能。

从10年前发布的1.6版开始,此类就可以在Java中使用,但似乎已被很大程度上忽略了。

代码

示例代码片段:

public class EvilExecutor {
    private String readCode(String sourcePath) throws FileNotFoundException {
        InputStream stream = new FileInputStream(sourcePath);
        String separator = System.getProperty("line.separator");
        BufferedReader reader = new BufferedReader(new InputStreamReader(stream));
        return reader.lines().collect(Collectors.joining(separator));
    }
    private Path saveSource(String source) throws IOException {
        String tmpProperty = System.getProperty("java.io.tmpdir");
        Path sourcePath = Paths.get(tmpProperty, "Harmless.java");
        Files.write(sourcePath, source.getBytes(UTF_8));
        return sourcePath;
    }
    private Path compileSource(Path javaFile) {
        JavaCompiler compiler = ToolProvider.getSystemJavaCompiler();
        compiler.run(null, null, null, javaFile.toFile().getAbsolutePath());
        return javaFile.getParent().resolve("Harmless.class");
    }
    private void runClass(Path javaClass)
            throws MalformedURLException, ClassNotFoundException, IllegalAccessException, InstantiationException {
        URL classUrl = javaClass.getParent().toFile().toURI().toURL();
        URLClassLoader classLoader = URLClassLoader.newInstance(new URL[]{classUrl});
        Class<?> clazz = Class.forName("Harmless", true, classLoader);
        clazz.newInstance();
    }
    public void doEvil(String sourcePath) throws Exception {
        String source = readCode(sourcePath);
        Path javaFile = saveSource(source);
        Path classFile = compileSource(javaFile);
        runClass(classFile);
    }
    public static void main(String... args) throws Exception {
        new EvilExecutor().doEvil(args[0]);
    }
}

解释:

  • readCode():从文件系统上的任意文件读取源代码,并将其作为字符串返回。另一种实现方式是从整个网络获取源。
  • saveSource():根据源代码在已启用读取的目录中创建一个新文件。该文件名是硬编码的,更完善的版本将解析code参数以创建一个根据其包含的类名命名的文件。
  • compileSource():从Java文件中编译类文件。
  • runClass:加载已编译的类并实例化一个新对象。为了独立于任何强制类型转换,应在外部源代码类的构造函数中设置要执行的代码。

问题

从功能的角度来看,与不提供此功能的其他语言相比,即时编译代码可提高Java语言的价值。从安全角度来看,这是一场噩梦! 能够在生产中执行任意代码的想法应该使任何IT组织(包括开发人员)(如果不是大多数)中的任何人都感到不寒而栗。

经验丰富的开发人员/操作人员或普通读者可能还记得Java安全管理器以及如何激活它:

java -Djava.security.manager -cp target/classes ch.frankel.blog.runtimecompile.EvilExecutor harmless.txt

执行上述命令行将产生以下结果:

java.lang.SecurityManager@4e25154f
Exception in thread "main" java.security.AccessControlException:
    access denied ("java.io.FilePermission" "harmless.txt" "read")
  at java.security.AccessControlContext.checkPermission(AccessControlContext.java:472)
  at java.security.AccessController.checkPermission(AccessController.java:884)
  at java.lang.SecurityManager.checkPermission(SecurityManager.java:549)
  at java.lang.SecurityManager.checkRead(SecurityManager.java:888)
  at java.io.FileInputStream.<init>(FileInputStream.java:127)
  at java.io.FileInputStream.<init>(FileInputStream.java:93)
  at ch.frankel.blog.runtimecompile.EvilExecutor.readCode(EvilExecutor.java:19)
  at ch.frankel.blog.runtimecompile.EvilExecutor.doEvil(EvilExecutor.java:47)
  at ch.frankel.blog.runtimecompile.EvilExecutor.main(EvilExecutor.java:56)

结论

JVM提供了很多功能。与任何工具一起使用时,无论好坏,它们都可以使用。每个人都有责任确保自己的JVM的安全,在敏感领域——银行业、军事等领域,情况更是如此。

Springboot基于Java动态编译实现项目动态加载class文件
专注基础架构领域
07-12 1957
在IDE中运行springboot 程序 类加载器是JDK自带的,类加载器已经完成了依赖jar的加载,所以编译是没问题的,但是springboot 用的是springboot自己写的LaunchedURLClassLoader。因为技术都是为业务服务的,所有的功能开发出来都需要有他的用途;-------------------------------------------------------正确写法分割线------------------------------------------------
Java动态编译Java代码,运行在内存中,并执行
01-30
*1.创建 URLClassLoader 类加载器 * 2.获取当前执行的classpath的所有jar包的路径 * 3.通过javaToolProvider创建JavaCompile,用来执行class源文件 * 4.创建DiagnosticCollector用来执行获取执行失败的错误结果 * 5.添加动态执行的编译环境 options 是个集合,添加内容,字符集,classpath等 * 6.传入JavaFileObject的java文件,是个集合,创建JavaSourceObject实现这个接口,Kind.SOURCE.extension = '.java' * 7.创建任务并执行 * 8.获取执行完成后的返回JavaClassObject类 * 9.创建DynamicClassLoader来加载类 ,defineClass这个方法
Java动态编译
kj_1314的博客
12-28 1259
自定义函数能力,ETL,动态编译
动态编译Java程序
熊熊乐园-JAVA篇
09-12 946
在Sun JDK 1.2及后续版本中,包含了一组可在程序运行时刻编译和执行Java代码的API。这些API被包含在tools.jar类库中。这个功能允许Java程序在运行时动态编译、执行小的代码块,在有些情况下这个功能会让Java应用程序的架构更加灵活、开放。  本文假定读者已经在计算机中安装并配置好了Sun JDK 1.2或更高的版本,并对javac编译器命令有所了解。  在Java程序中使用编
科普文:Java基础系列之[java动态编译]
最新发布
为无为,事无事,味无味。
08-09 1611
Java 中,动态编译是指在运行时动态地编译 Java代码,生成字节码,并加载到 JVM 中执行。动态编译可以用于实现动态代码生成、动态加载、插件化等功能。动态编译可能在日常工作中所使用的场景不多,但在特定的场景下能够很好的解决我们所遇到的问题,本篇文章可以给大家提供一些视野,当你遇到类似场景时或许动态编译能够很好的解决它!
内存中动态编译执行java代码
10-25
不需要任何java类文件,将字符串输入到内存,然后编译,加载,执行,整个过程全部在内存中实现,不会产生.java和.class文件,做到了洁净无污染。
JDK8 下 SpringBoot 应用动态编译 Java 源码并注入 Spring 容器
09-04
SpringBoot 应用动态编译 Java 源码并注入 Spring 容器,实现动态修改接口和抽象类的实现。注意,项目以 Jar 包形式启动时要在命令行引入 tools.jar 的包,IDEA下可直接调试。 基于接口、抽象类实现不停机动态调整...
Java中的动态编译与执行技术
省赚客开发者博客
07-20 811
Java编程中,动态编译与执行技术为开发者提供了强大的工具,使得在运行时生成和执行Java代码成为可能。本文将介绍Java中的动态编译与执行技术,包括相关API的使用和实际应用示例。通过这些技术,开发者可以在运行时生成、编译和执行Java代码,从而提高应用程序的灵活性和扩展性。首先,脚本引擎生成Java源文件并动态编译,然后通过反射机制加载并执行生成的类和方法。在动态编译Java代码后,接下来就是动态执行生成的字节码。下面的示例展示了如何加载并执行动态编译生成的类。在上面的代码中,我们使用。
java编程进行动态编译加载代码分享
08-28
Java动态编译加载代码分享是Java编程中的一种重要技术,能够动态编译加载Java代码,实现灵活的代码管理和执行。下面是相关的知识点: 1. JavaCompiler类:JavaCompiler类是Java标准库中的一个类,提供了编译Java源...
Java中的动态编译技术
weixin_46372265的博客
07-23 734
动态编译(Dynamic Compilation)是指在程序运行时生成源代码并进行编译,而不是在编译时完成所有代码的编译工作。这种技术允许应用程序在运行时创建和执行新的代码片段,从而提供极大的灵活性和适应性。自定义类加载器是实现动态编译的关键,它可以在运行时加载新生成的字节码。@Override= null) {这个类加载器通过覆盖findClass方法,将自定义的Java文件对象转换为字节码,并定义新的类。用于管理Java文件对象,可以通过自定义实现来处理字符串形式的源代码
JAVA动态编译
12-01
Java动态编译知识,真真在实际开发中并不是经常遇到。但是学习java动态编译有助于我们从更深一层次去了解java。对掌握jdk的动态代理模式,还有比如CGLIB,Spring 的AOP的原理就很有帮助。这样我们在学习其他一些开源框架的时候就能够知其然也知其所以然。
JAVA动态编译JAVA代码
weixin_33778778的博客
01-24 600
2019独角兽企业重金招聘Python工程师标准>>> ...
动态编译java_Java动态编译
weixin_39740272的博客
02-20 155
Java动态编译最近熟悉了一下反射,对Java的动态性有了进一步的了解,因此想实现一下用Java直接动态生成.class文件,也就是在编译完成后,运行时编译java文件工程结构➜ helloworld tree.├── bin│ └── helloworld│ ├── Car.java├── src│ └── helloworld│ ├── TestDynamic...
Java动态编译并执行JavaCompiler动态编译并执行java代码片段
yondd的博客
09-27 2168
JavaCompiler动态编译并执行java代码片段
java 动态编译代码_java动态编译运行代码
weixin_42113754的博客
02-16 272
import java.io.BufferedReader;import java.io.InputStreamReader;import java.net.URI;import java.util.Arrays;import javax.tools.JavaCompiler;import javax.tools.JavaFileObject;import javax.tools.SimpleJa...
一文学会 Java 动态编译
Java是世界上最好的语言
03-30 3139
Java动态编译技术可以让我们在程序运行时动态地生成和加载Java代码,从而实现更加灵活和高效的应用程序。本文介绍了Java动态编译的基本概念、实现方法和相关案例。如果你对Java动态编译技术感兴趣,可以通过阅读的官方文档,进一步了解该技术的实现细节。同时,需要注意的是,Java动态编译技术虽然可以提供更高的灵活性和可扩展性,但在实际使用时也存在一些安全隐患。因为动态编译可以在程序运行时生成和加载代码,如果不加以限制和控制,可能会导致恶意代码的注入和执行。
Java代码动态编译,直接拿去用
qq_44741568的博客
10-27 3325
测试代码 public class Test { public static void main(String[] args) throws Exception { String source = "package com;\n" + "\n" + "import java.time.Duration;\n" + "import java.util.HashMap;\n" +
Jdk19 动态编译 Java 源码为 Class 文件(一)
weixin_42176639的博客
02-15 1710
JDK 动态编译 Java 源码,生成 Class 类; 并将 Class 实例化,调用对象方法
动态编译Java代码段:DynamicJavaCompiler实用指南
它通过封装底层复杂的编译流程,简化了动态编译Java代码的过程,使得开发者能够更加专注于业务逻辑的实现,而不必花费大量时间处理类加载、编译错误处理等样板代码。 3. 动态编译流程 使用DynamicJavaCompiler进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值