jvm注解 @CallerSensitive的用处

最新推荐文章于 2023-05-03 22:28:50 发布
原创 最新推荐文章于 2023-05-03 22:28:50 发布 · 2.8k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

博客介绍了CallerSensitive注解的作用,黑客曾利用双重反射构造调用链欺骗反射权限检查,造成安全漏洞。使用CallerSensitive注解后,getCallerClass不再用固定深度寻找调用者,而是跳过标注该注解的反射接口方法,有效解决了此问题。

这个注解是为了堵住漏洞用的。曾经有黑客通过构造双重反射来提升权限,原理是当时反射只检查固定深度的调用者的类,看它有没有特权,例如固定看两层的调用者(getCallerClass(2))。如果我的类本来没足够权限群访问某些信息,那我就可以通过双重反射去达到目的:反射相关的类是有很高权限的,而在 我->反射1->反射2 这样的调用链上,反射2检查权限时看到的是反射1的类,这就被欺骗了,导致安全漏洞。使用CallerSensitive后,getCallerClass不再用固定深度去寻找actual caller(“我”),而是把所有跟反射相关的接口方法都标注上CallerSensitive,搜索时凡看到该注解都直接跳过,这样就有效解决了前面举例的问题

扒一扒@CallerSensitive注解,有点意思!
m0_71777195的博客
10-17 240
因为 一旦变化 就是一个新的String对象,旧的对象不变。
sun.reflect.Reflection介绍以及@CallerSensitive注解
赶路人儿
11-23 3594
sun.reflect.Reflection 这个工具类是和反射相关的,我第一次见到这个方法是在java.sql.DriverManager中的getConnection方法中见到的: @CallerSensitive public static Connection getConnection(String url, String user, String password) throws SQLException { java.util.Properties info = n
Java 注解 CallerSensitive
weixin_34129696的博客
12-02 209
为什么80%的码农都做不了架构师?>>> ...
@CallerSensitive 注解的作用
一叶知秋
09-05 1002
如Reflection.getCallerClass()方法规定,调用它的对象,必须有 @CallerSensitive 注解,否则 报异常 Exception in thread "main" java.lang.InternalError: CallerSensitive annotation expected at。总结就是说 jdk内有些方法,jvm的开发者认为这些方法危险,不希望开发者调用,就把这种危险的方法用 @CallerSensitive修饰,并在“jvm”级别检查。
@CallerSensitive
zhou920786312的博客
09-28 819
CallerSensitive学习 代码位置(Reflection类) public class Reflection { @CallerSensitive public static native Class<?> getCallerClass(); 权限 Reflection.getCallerClass()此方法的调用者必须有权限 由bootstrap class loa...
@CallerSensitive注解
WTL的博客
05-09 3937
具体的理解请参考:https://blog.youkuaiyun.com/HEL_WOR/article/details/50199797。下面是我自己的理解:下面就是Class.forName的定义,学过java的应该都用过这个方法。 @CallerSensitive public static Class&lt;?&gt; forName(String className) ...
JDK8的@CallerSensitive
热门推荐
aguda_king的博客
05-17 1万+
在看java.lang.reflect.Proxy源码的时候看到有一行代码调用Reflection.getCallerClass(),这是个native方法,但这个方法上有个注解@CallerSensitive,比较好奇,研究一下 权限 Reflection.getCallerClass()此方法的调用者必须有权限,需要什么样的权限呢? 由bootstrap class loader加载的类可以
Kotlin系列之@JvmField、@JvmName、@JvmOverloads、@JvmStatic等注解详解
小孟来码的博客
09-23 1万+
Kotlin系列之@JvmField、@JvmName、@JvmOverloads、@JvmStatic、@JvmMultifileClass、@JvmSynthetic等注解详解
Java注解之@IntrinsicCandidate
lanluyug的博客
05-03 3690
IntrinsicCandidate是一个Java注解,用于标记一个方法或构造函数是一个内在的候选方法,即该方法或构造函数是由编译器自动生成的,而不是由开发人员手动编写的。例如,JVM可以将使用@IntrinsicCandidate注解的方法替换为JVM内置的方法,如System.arraycopy(),以提高数组复制的效率。具体来说,当JVM检测到使用了@IntrinsicCandidate注解的方法时,它会尝试将该方法替换为更高效的内置方法,以提高程序的性能。
Netty注解@Sharable、@Skip、@UnstableApi、@SuppressJava6Requirement、@SuppressForbidden
CodingAnHour
08-15 1558
在jdk10一下,使用docker容器初始化Group时获计算cpu核数时Runtime.getRuntime().availableProcessors()),获取的是宿主机的cpu核数。如果非共享的Handler重复加入就会抛出异常,提示非共享Handler不能重复加入,在cash中同时会断开链接。https://github.com/policeman-tools/forbidden-apis/去除 “禁用” 报警,forbidden组件会在编译(maven compile)阶段。...
@CallerSensitive 原理
码农架构
08-19 1047
关注公众号:码农架构。 回复资料,领取小码哥最新整理的面试资料 权限 Reflection.getCallerClass()此方法的调用者必须有权限,需要什么样的权限呢? 由bootstrap class loader加载的类可以调用 由extension class loader加载的类可以调用 都知道用户路径的类加载都是由 application class loader进行加载的,换句话说就是用户自定义的一些类中无法调用此方法 作用 Reflection.getCallerCl.
扒一扒@CallerSensitive注解,有点意思
Huangjiazhen711的博客
10-17 1302
因为 一旦变化 就是一个新的String对象,旧的对象不变。
sun.reflect.Reflection类的学习UnSafe中
BingShuBlog的博客
03-20 604
Reflection简介一、简单使用二、总结 简介 今天在学习UnSafe类的时候,看到的使用了这个类,就想了解一下,但是发现自己不是很会用,查阅相关资料之后,学习了这个类的简单用法。 我发现自己是遇到什么学什么,哈哈哈,总是偏离主题,但是学了就记录一下吧,有喜欢的可以关注一下。 一、简单使用 刚学习的时候我仿造UnSafe中的写了一个方法,发现不能调用,报错。 后来换了方法才能使用的。 调用的时候报错 CallerSensitive annotation expected at frame 1 通过查
jvm(二)之类加载器
jannal专栏
05-04 376
文章目录概述类加载类加载器组织结构Bootstrap ClassLoaderExtension ClassLoaderSystem ClassLoader类加载机制自定义类加载器类加载器与Web容器线程上下文类加载器Class.forName与ClassLoader的区别Jar Hell 概述 Class Loader定义:当运行Java程序时,首先运行JVM,然后再把Java clas...
CallerSensitive注解是什么鬼?
大叶子不小的博客
10-18 703
https://www.jianshu.com/p/cec71079acdf 4.3.5 用@CallerSensitive注解修饰的方法从一开始就知道具体调用它的对象,这样就不用再经过一系列的检查才能确定具体调用它的对象了。它实际上是调用sun.reflect.Reflection.getCallerClass方法。 ...
JVM注解@CallSensitive
HEL_WOR的博客
12-06 1万+
转载请注明 http://blog.youkuaiyun.com/HEL_WOR/article/details/50199797 @CallSensitive是JVM中专用的注解,在类加载过过程中是可以常常看到这个注解的身影的。 这是在Sun.reflect中的定义:@Retention(RetentionPolicy.RUNTIME) @Target({ java.lang.annotation.Elem
@CallerSensitive学习笔记
javkhuang的博客
02-19 225
解释 这个注解是为了堵住漏洞用的。曾经有黑客通过构造双重反射来提升权限,原理是当时反射只检查固定深度的调用者的类,看它有没有特权,例如固定看两层的调用者(getCallerClass(2))。如果我的类本来没足够权限群访问某些信息,那我就可以通过双重反射去达到目的:反射相关的类是有很高权限的,而在 我->反射1->反射2 这样的调用链上,反射2检查权限时看到的是反射1的类,这就被欺骗了,导致安全漏洞。使用CallerSensitive后,getCallerClass不再用固定深度去寻找actua
java 日志脱敏框架 sensitive-v0.0.4 系统内置常见注解,支持自定义注解
weixin_33690367的博客
01-18 283
项目介绍 日志脱敏是常见的安全需求。普通的基于工具类方法的方式,对代码的入侵性太强。编写起来又特别麻烦。 本项目提供基于注解的方式,并且内置了常见的脱敏方式,便于开发。 特性 基于注解的日志脱敏。 可以自定义策略实现,策略生效条件。 常见的脱敏内置方案。 java 深拷贝,且原始对象不用实现任何接口。 支持用户自定义注解。 自定义注解 maven 导入 &lt;depend...
java 注解@Report
最新发布
10-26
Java注解@Report可用于为代码元素(方法...若配置为RUNTIME类型,注解会被加载进JVM,并且在运行期可以被程序读取,可用于在运行时动态获取代码元素的额外信息,从而实现一些特定的功能,如代码检查、配置读取等 [^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值