JAVA 安全性 -- 沙箱机制

最新推荐文章于 2024-09-11 07:33:53 发布
原创 最新推荐文章于 2024-09-11 07:33:53 发布 · 212 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #运维

本文深入探讨Java的安全性机制,包括沙箱机制、类装载器如何防止恶意代码干扰正常代码、Class文件校验器如何确保字节码的完整性和正确性,以及JVM的内置安全特性等关键内容。
<!-- [if gte mso 9]><xml> <w:WordDocument> <w:View>Normal</w:View> <w:Zoom>0</w:Zoom> <w:PunctuationKerning/> <w:DrawingGridVerticalSpacing>7.8 磅</w:DrawingGridVerticalSpacing> <w:DisplayHorizontalDrawingGridEvery>0</w:DisplayHorizontalDrawingGridEvery> <w:DisplayVerticalDrawingGridEvery>2</w:DisplayVerticalDrawingGridEvery> <w:ValidateAgainstSchemas/> <w:SaveIfXMLInvalid>false</w:SaveIfXMLInvalid> <w:IgnoreMixedContent>false</w:IgnoreMixedContent> <w:AlwaysShowPlaceholderText>false</w:AlwaysShowPlaceholderText> <w:Compatibility> <w:SpaceForUL/> <w:BalanceSingleByteDoubleByteWidth/> <w:DoNotLeaveBackslashAlone/> <w:ULTrailSpace/> <w:DoNotExpandShiftReturn/> <w:AdjustLineHeightInTable/> <w:BreakWrappedTables/> <w:SnapToGridInCell/> <w:WrapTextWithPunct/> <w:UseAsianBreakRules/> <w:DontGrowAutofit/> <w:UseFELayout/> </w:Compatibility> <w:BrowserLevel>MicrosoftInternetExplorer4</w:BrowserLevel> </w:WordDocument> </xml><![endif]--><!-- [if gte mso 9]><xml> <w:LatentStyles DefLockedState="false" LatentStyleCount="156"> </w:LatentStyles> </xml><![endif]--><!-- [if gte mso 10]> <style> /* Style Definitions */ table.MsoNormalTable {mso-style-name:普通表格; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman"; mso-ansi-language:#0400; mso-fareast-language:#0400; mso-bidi-language:#0400;} </style> <![endif]-->

安全性 沙箱机制

1.       类装载器

a)         防止恶意代码干涉善意代码

通过为由不同的类装载器装入的类提供不同的命名空间来实现

b)        守护了被信任的类库的边界

通过分别使用不同的类装载器装在可靠的包和不可靠的包来实现

c)        将代码归入某类(保护域),该类确定了代码可以进行哪些操作

2.       Class 文件校验器

a)         类装载时,检验 class 文件的内部结构,以保证它可已被安全地编译

例如:文件是否是以 0xCAFEBASE 开头的

         文件有没有删节,尾部是否有附带的其他字节

该趟扫描的主要目的:保证这个字节序列正确地定义了一个新类型,他必须遵从 Class 文件的固定格式

b)        类型数据的语义检查

查看每一个组成部分,确认它们是否是其所属类型的实例,它们的结构是否正确。例如:方法描述符

检查该类必须都有一个超类(除了 Object 外)。

Final 类没有被子类化、以及 final 方法没有被覆盖

常量池中的条目是否合法

c)        检验 class 文件字节码的完整性验证

字节码 --- 操作码

d)        确认被引用的类、字段以及方法的确是存在。

以上 bcd 三趟扫描是针对方法区中的扫描

3.       JVM 内置安全特性(在 CLASS 文件检验器第四趟之前)

a)         类型安全的引用转换

b)        结构化的内存访问(无指针算法)

c)        自动垃圾收集

d)        数组边界检查

e)         空引用检查

4.       安全管理器以及 JAVA API

前三点主要是保护应用程序内部的完整性

安全管理器是保护虚拟机的外部资源不会被虚拟机内部的恶意或有漏洞的代码侵犯。

 

类装载器请求另一个类装载器来装在类型的过程 -> 双亲委派模式

除了启动类装载器以外的每一个类装载器,都有一个‘双亲’类装载器

iteye_8024
关注
18.5:Java安全沙箱的限制和安全机制!(课程共9800字,4段代码举例分析)
小兔子平安
06-30 141
本课程旨在为Java开发者和安全从业者提供一个全面的Java安全沙箱介绍和学习的平台,帮助大家更好地掌握Java安全沙箱的使用和应用方法,从而提高Java程序的安全性和稳定性。在实际应用中,我们需要不断地学习和了解最新的安全技术和措施,以保障系统的安全性和稳定性。同时,我们也需要不断地反思和讨论,发现和解决可能存在的问题和不足之处,以不断提高Java安全沙箱的应用效果和保障系统的安全性
JVM(3)沙箱安全机制
OVO_LQ_Start的博客
11-08 478
什么是沙箱? Java安全模型的核心就是Java沙箱(sandbox),什么是沙箱?沙箱是一个限制程序运行的环境。沙箱机制就是将 Java 代码限定在虚拟机(JVM)特定的运行范围中,并且严格限制代码对本地系统资源访问,通过这样的措施来保证对代码的有效隔离,防止对本地系统造成破坏。沙箱主要限制系统资源访问,那系统资源包括什么?——CPU、内存、文件系统、网络。不同级别的沙箱对这些资源访问的限制也可以不一样。   所有的Java程序运行都可以指定沙箱,可以定制安全策略。 组成沙箱的基本组件: 字节码校验器(b
冷门的 Java 应用程序安全沙箱机制了解一下
weixin_34186950的博客
12-10 201
如果你经常阅读源码,你会发现 Java 的源码中到处都有类似于下面这一段代码 class File { // 判断一个磁盘文件是否存在 public boolean exists() { SecurityManager security = System.getSecurityManager(); if (security != null) { security...
java安全——Java 默认沙箱
多头注意力探索Now
06-27 3056
默认沙箱
groovy-sandbox:(不建议使用)编译时转换器以在限制性沙箱中运行Groovy代码
05-03
Groovy沙盒 警告:此库仅在Jenkins的上下文中维护,并且仅应用作Jenkins插件的依赖项,例如和 。 出于所有其他目的,应将其视为已弃用且不安全。 该库提供了一个编译时转换器,可以在执行之前拦截大多数操作(例如方法调用)的环境中运行Groovy代码。 库的使用者可以参与拦截,以允许或拒绝特定操作。 当单独使用该库时,它是不安全的。 特别是,您必须至少沿着的行使用附加的CompilationCustomizer来拒绝可以绕过沙箱的AST转换,并且需要特别小心以确保在沙箱内部解析和执行不受信任的脚本。
【亲测免费】 推荐开源项目:Groovy-Sandbox——安全执行Groovy代码的沙箱环境
gitblog_00098的博客
06-23 1505
推荐开源项目:Groovy-Sandbox——安全执行Groovy代码的沙箱环境 在软件开发中,我们常常需要运行用户提供的或不可信的代码片段,这带来了安全隐患。为了解决这个问题,我们向您推荐一个由Jenkins社区维护的开源项目:Groovy-Sandbox,它提供了一个编译时的转换器,能够在执行Groovy代码时拦截大多数操作,并允许或禁止特定的操作。 1、项目介绍 Groovy-Sandbox...
java的沙箱安全机制
sj8921202的博客
11-23 2154
java的沙箱安全机制 转自 “狂神说” 一、介绍 Java安全模型的核心就是java沙箱sandbox,将java代码限定在jvm特定的运行范围中,并严格限制代码对本地系统资源访问,这样来保证代码的有效隔离,防止对本地系统造成破坏。 所有java程序运行都可以指定沙箱,可以定制安全策略。 java将执行程序分成本地代码和远程代码,本地代码默认可信任,远程不受信任。JDK1.0时,非授信的远程代码的安全完全依赖于沙箱机制。 如此严格的安全机制给程序扩展带来障碍,因此后续1.1版本做了改进,增加了安全策略,允
P神-Java安全漫谈
04-20
代码安全性Java提供了强大的安全机制,如访问控制、类加载验证、沙箱模型等。这些机制确保代码在运行时不会执行恶意操作或访问未经授权的资源。 身份认证和访问控制:Java安全包括用户身份认证和授权机制,以确保...
java9-沙箱
02-17
Java 9 沙箱(Sandbox)是一个重要的安全特性,它主要针对模块系统(Module System)进行设计,旨在提供更严格的代码隔离和安全性。在Java 9中,引入了Project Jigsaw,这是一个旨在增强Java平台模块化和安全性的...
深入Java安全管理器与沙箱环境构建
weixin_53840353的博客
07-03 1184
Java安全管理器是一个运行时环境中的组件,它通过检查应用程序的权限来控制应用程序的行为。当应用程序尝试执行一个受限操作时,安全管理器会检查是否允许该操作。如果不允许,则抛出异常。首先,我们可以创建一个自定义的安全管理器,以更细粒度地控制权限。@Override// 允许所有权限@Override// 禁止读取某些文件@Override// 禁止写入某些文件通过使用Java安全管理器和自定义策略文件,我们可以构建一个安全的沙箱环境,限制应用程序的权限,防止恶意代码对系统造成损害。
Jenkins+Pipeline Script+Groovy+Mysql 持续集成配置
Mirson - 多一些分享, 多一些进步
09-07 2891
Jenkins中的Pipeline Script功能十分强大,不再简单的调用SHELL指令, 可以完全支持Groovy脚本语言,兼容JAVA生态,可以支持各种第三方组件,再加入Mysql的打包配置持久化, 可以很灵活的实现各种复杂打包的场景,更好的控制管理版本的打包,实现可持续性的集成配置管理,可以极大的简化打包配置工作量。这里讲解具体的配置使用, 以及在使用过程中所遇到的一些问题的处理。
groovy基础
Code Writers
02-07 621
Groovy是构建在JVM上的一个轻量级却强大的动态语言, 它结合了Python、Ruby和Smalltalk的许多强大的特性.Groovy就是用Java写的 , Groovy语法与Java语法类似, Groovy 代码能够与 Java 代码很好地结合,也能用于扩展现有代码, 相对于Java, 它在编写代码的灵活性上有非常明显的提升,Groovy 可以使用其他 Java 语言编写的库.
groovy语法校验和沙盒(sandbox)运行
小小黑
02-15 9705
groovy语法校验主要解决脚本在编写时能实时检查语法是否正确,类似IDE的功能,沙盒运行主要解决系统若嵌入System.exit(0),会导致整个应用停掉的问题 需要引用的依赖包如下: &lt;!-- https://mvnrepository.com/artifact/org.codehaus.groovy/groovy-all --&gt; &lt;dependency&gt; ...
【亲测免费】 Groovy-Sandbox 项目教程
gitblog_00679的博客
09-10 790
Groovy-Sandbox 项目教程 1. 项目介绍 Groovy-Sandbox 是一个用于在限制性沙箱环境中安全运行 Groovy 代码的编译时转换器。该项目主要用于 Jenkins 插件的依赖项,并且仅在 Jenkins 的上下文中维护。对于其他用途,该项目被视为已弃用且不安全。Groovy-Sandbox 提供了一个机制,可以在执行之前拦截大多数操作(例如方法调用),并允许库的使用者参与...
JVM-沙箱安全机制
weixin_71916648的博客
07-25 1000
在类加载过程中,JVM会根据一定的规则,优先使用父类加载器来进行类加载,如果父类加载器无法完成类加载任务,则交由其子类加载器来处理。同时,也可以通过限制父类加载器的访问范围,防止恶意代码的注入和执行。例如,在处理未捕获的异常时,JVM会提供默认的异常处理器,用于捕获和处理未处理的异常,以防止恶意代码利用未处理的异常绕过安全控制。1、类加载器隔离(限制):JVM通过使用不同的类加载器来实现不同类之间的隔离,通过这种方式,JVM可以确保来自不受信任来源的类无法访问受保护的类和资源。
Groovy沙箱:Jenkins插件的安全守护者
最新发布
gitblog_00383的博客
09-11 1818
Groovy沙箱:Jenkins插件的安全守护者 项目介绍 groovy-sandbox 是一个专为Jenkins插件设计的安全沙箱库。它通过在编译时对Groovy代码进行转换,拦截并控制代码中的大部分操作,如方法调用等。该库的主要目的是为Jenkins插件提供一个安全的环境,防止恶意脚本执行潜在的危险操作。尽管groovy-sandbox本身并不完全安全,但它与Jenkins插件(如Script...
CVE-2015-1427 ElasticSearch(Groovy 沙盒绕过 && 代码执行漏洞)
weixin_51387754的博客
11-17 3060
漏洞简介 CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞:1.是一个沙盒绕过; 2.是一个Goovy代码执行漏洞。 漏洞原因很简单,由于沙盒代码黑名单中的Java危险方法不全,从而导致恶意用户仍可以使用反射的方法来执行Java代码。这就完了?当然不是!由于Elasticsearch开发团队没有完全认知Groovy的强大,以为仅仅防止用户调用Java反射就可以免于被攻击,这真是太好笑了,我们来看下Groovy对
Groovy食谱: 第5章 命令行中的Groovy
白石的专栏
06-05 1546
Groovy食谱: 第5章 命令行中的Groovy
java导出word功能(包含图片)二
dx906929231的专栏
09-28 3653
上一章写了导出html其实基本能满
Java安全性编程指南:深入理解安全机制与实践
因此,掌握Java安全性编程不仅是一项技术要求,更是保障信息系统整体安全的关键环节。 首先,Java安全性编程的核心在于其内置的安全架构体系,即Java Security Architecture。这一架构由多个层次组成,包括类加载器...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值