三,默认沙箱

Java沙箱机制详解
最新推荐文章于 2024-05-16 19:59:29 发布
原创 最新推荐文章于 2024-05-16 19:59:29 发布 · 487 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Java沙箱机制的基本概念及其组成部分,包括权限、代码源、保护域、策略文件和密钥库等内容。深入探讨了Java沙箱如何通过这些元素来实现安全策略,以及如何配置策略文件来控制代码的权限。

java默认沙箱:


一,沙箱成员(要素)

1.权限

如:permission java.io.FilePermission "<<ALL FILES>>" , "read,write,delete,execute"

2.代码源

3.保护域

4.策略文件

5.密钥库


二,代码源

权限放在最后总结

1,包含:代码基、签名者

2,代码基可以是任何合法的url,签名者是密钥库中的某一个别名。


三、密钥库

保存证书和密码的数据库。代码如果被签名,需要用密钥库中的证书才能验证


四,策略文件

代码源的权限记录,

我们可以这么说:在这个文件里面,配置了java代码的各种权限。Java代码如果没有权限访问某一个文件,可能与这个配置文件有很大关系


%javahome%\jre\lib\security\java.policy文件默认代码:


// Standard extensions get all permissions by default

grant codeBase "file:${{java.ext.dirs}}/*" {
        permission java.security.AllPermission;
};

// default permissions granted to all domains

grant {
        // Allows any thread to stop itself using the java.lang.Thread.stop()
        // method that takes no argument.
        // Note that this permission is granted by default only to remain
        // backwards compatible.
        // It is strongly recommended that you either remove this permission
        // from this policy file or further restrict it to code sources
        // that you specify, because Thread.stop() is potentially unsafe.
        // See the API specification of java.lang.Thread.stop() for more
        // information.
        permission java.lang.RuntimePermission "stopThread";

        // allows anyone to listen on dynamic ports
        permission java.net.SocketPermission "localhost:0", "listen";

        // "standard" properies that can be read by anyone

        permission java.util.PropertyPermission "java.version", "read";
        permission java.util.PropertyPermission "java.vendor", "read";
        permission java.util.PropertyPermission "java.vendor.url", "read";
        permission java.util.PropertyPermission "java.class.version", "read";
        permission java.util.PropertyPermission "os.name", "read";
        permission java.util.PropertyPermission "os.version", "read";
        permission java.util.PropertyPermission "os.arch", "read";
        permission java.util.PropertyPermission "file.separator", "read";
        permission java.util.PropertyPermission "path.separator", "read";
        permission java.util.PropertyPermission "line.separator", "read";

        permission java.util.PropertyPermission "java.specification.version", "read";
        permission java.util.PropertyPermission "java.specification.vendor", "read";
        permission java.util.PropertyPermission "java.specification.name", "read";

        permission java.util.PropertyPermission "java.vm.specification.version", "read";
        permission java.util.PropertyPermission "java.vm.specification.vendor", "read";
        permission java.util.PropertyPermission "java.vm.specification.name", "read";
        permission java.util.PropertyPermission "java.vm.version", "read";
        permission java.util.PropertyPermission "java.vm.vendor", "read";
        permission java.util.PropertyPermission "java.vm.name", "read";
};




java默认的策略文件路径为:javahome/jre/lib/security/java.policy

策略文件可以通过 policytool工具进行管理,不宜出错

策略文件可以自定义,可以有多个,前提是需要修改java.security文件,


如java.security文件修改如下:

 #把policy.allowSystemProperty 设置为true,允许指定系统属性

policy.allowSystemProperty = true  

#策略文件必须按顺序编号

policy.url.1=file:${java.home}/lib/security/java.policy

policy.url.2=file:${java.home}/lib/security1/java.policy  




五,权限

权限组成要素:类型,名,操作

1,文件权限

如:permission java.io.FilePermission "<<ALL FILES>>" , "read,write,delete,execute"

类型:permission java.io.FilePermission

名:文件的名称(全路径)、通配表示、<<ALL FILES>>等特殊表示

操作: read,write,delete,execute


2,套接字权限

类型:java.net.SocketPermission

名:地址:端口

操作:accept   listen  connect   resolve

如:permission java.net.SocketPermission "*:1-","accept,listen"


3,属性权限

名:java虚拟机属性名

操作:读、写

permission java.util.PropertyPermission "java.*","read"


4,运行时权限

类型:java.lang.RuntimePermission

名:

accessClassInPackage.<name>

accessDeclaredMembers

createClassLoader

createSecurityManager

defineClassInPackage.<name>

exitVM

getClassLoader

getProtectionDomain 获得保护域

loadlibrary.<name> 装载制定的类库

modifyThread 调整线程参数

modifyThreadGroup

queuePrintJob

setIO

stioThread

setSecurityManager 设置安全管理器

..

操作:无,要么执行,要么不执行,所以不需要定义操作

如:permission java.lang.RuntimePermission "accessClassInPackage.sdo.foo"

有一些需要注意的地方  

注意1、.<name>的使用,有点特殊。上句说明sdo.foo包中的类可以被访问。sdo被设置在security文件中,如下

package.access=sun,.sdo.  ,一般这里设置的都是一些特殊的包,如sun包,不允许用户代码直接访问的。

注意2、不准在java标准包中定义任何类,即使有权限也无济于事


5,网络权限(除了套接字,java实现了url等网络类)

类型:java.net.NetPermission

名:specifyStreamHander ,在url类中安装新的流处理器

操作:无


6,AWT权限


7,安全权限

类型:java.security.SecurityPermission

名:addIdentityCertificate 为Identity对象增加一个证书

createAccessControlContext 创建存取控制环境

getDomainCombiner 撤销保护域

getProperty.<prop.name> 读取安全属性

getSignerPrivateKey

...


操作:无


8,序列化权限

类型:java.io.SerializablePermission

名:

enableSubstitution 允许创建对象流 ObjecIInputStream  ObjectOutputStream

enableSubclassImplementation  允许创建对象流子类,覆盖readObject(),writeObject()方法

操作:无


9,反射权限

类型:java.lang.reflect.ReflectPermission

名:suppressAccessChecks  ,检查私有变量

操作:无



10,完全权限

类型:java.security.AllPermission

名:无

操作:无

 



Cuckoo沙箱环境
全网120W+关注AI拉呱,专注人工智能以及科技前沿!
04-28 659
监控系统调用,网络流量,文件操作并结合反调试和反虚拟化技术,以防止恶意软件逃逸(例如,恶意软件可能会尝试检测是否在虚拟机环境中运行,以避免被分析)。收集样本在运行过程中创建或者下载的文件,可能包含恶意代码、配置文件、日志文件等,可以分为写入磁盘和存储在内存中的缓冲区中的两者。自动下载相关的恶意文件或链接,然后在虚拟环境中运行并收集有关其行为的信息,最终生成有关该恶意文件的报告。注册表键值:恶意软件可能会修改或创建注册表键值,因此从提取的工件中可以获取到关于该恶意软件的更多信息。
解决es的hanlp插件报java.io.FilePermission“ “data/dictionary/CoreNatureDictionary.tr.txt“ “read“错误
佐勒之博
02-15 3190
解决es的hanlp插件报java.io.FilePermission" “data/dictionary/CoreNatureDictionary.tr.txt” "read"错误 在更新elasticsearch并更新对应的分词插件之后出现了以下的错误: java.io.FilePermission" "data/dictionary/CoreNatureDictionary.tr.txt" "read" 但是我在win10的权限都是完全控制的,所以对这个很奇怪 在网上说了很多要修改java8的j
java java.security,java.security.AccessControlException:访问被拒绝(java.io.FilePermission
weixin_39760295的博客
02-20 539
final File parentDir = new File("S:\\PDSPopulatingProgram");parentDir.mkdir();final String hash = "popupateData";final String fileName = hash + ".txt";final File file = new File(parentDir, fileName);f...
Java安全——策略文件说明
多头注意力探索Now
06-27 2637
java安全策略文件说明
如何在Java中设置文件的权限?
weixin_45428910的博客
05-16 1819
如何在Java中设置文件的权限?
【异常】java.security.AccessControlException: access denied (“java.io.FilePermission“ “文件位置” “read“)
qq_43478653的博客
03-05 3626
项目场景: 调用javaApplet的drawImage()绘制图片时,出现如上所示异常,其中html配置如下: 表示将*.html文件的上级目录下的lib下的jpg文件当做参数赋值给applet中的成员变量image。 解决方案: 在java的此安装目录下: C:\Program Files\Java\jdk1.8.0_181\jre\lib\security 有一个java.policy文件: 在文件最下面添加如下内容 permission java.security.AllPermissi
JAVA APPLET读本地文件权限问题及解决办法
gyflyx的专栏
05-27 1万+
<br />综合网络上的资料有2中方法:<br /> 1,使用数字签名。<br /> 2,修改策略文件。<br />这里使用的方法是修改策略文件:<br />首先要确定IE所使用的Jre安装在哪个目录下。但没有找到比较好的方法,一般默认是C:/Program Files/Java/下。从IE的Internet选项中可以看到目前使用的版本,那就进入C:/Program Files/Java/中对应版本的文件夹。本机是C:/Program Files/Java/j2re1.4.2_05/<br />
imacros-load-library:在iMacros的沙箱环境中加载第方库
05-03
然而,这也意味着默认情况下,沙箱环境可能不允许直接加载外部库。 加载第方库通常涉及到JavaScript的`<script>`标签或者使用`eval()`函数。但在iMacros的沙箱环境中,这些方法可能会受到限制。不过,通过一些...
开源免费沙箱增强版 Sandboxie Plus 0.7.3 + x64 中文免费版.zip
06-01
您可以立即获得默认沙箱。要在沙盒中运行应用程序,只需选择“创建新盒子”,输入名称,选择有问题的盒子,然后运行程序。最初,所有在沙箱中运行的应用看起来都很正常。但是,您可以观察到将鼠标光标移至窗口边框...
物化沙箱
02-14
3. **JavaScript文件**(script.js):可能包含了初始化组件、添加交互功能或扩展Materialize默认行为的代码。 4. **HTML文件**(index.html等):实际的网页结构,包含了Materialize组件的实例。 5. **图片和其他...
支付宝IDEA沙箱支付,一键导入IDEA即刻可用
最新发布
07-17
导入项目到IDEA后,需替换默认配置信息,包括:1. APPID:用于识别应用;2. 商户私钥:用于生成签名,保障交易安全;3. 支付宝公钥:用于验证支付宝返回签名,确认消息真实性;4. 沙箱环境URL:需使用沙箱API地址。 ...
java.io.file.sync_java.io.FilePermission
weixin_36378683的博客
02-28 352
public final class FilePermission此类表示对文件和目录的访问。FilePermission 由路径名和对该路径名有效的操作集合组成。路径名是授予指定操作的文件或目录的路径名。以 "/*"(其中 "/" 是文件分隔符字符,即 File.separatorChar)结尾的路径名指示包含在该目录中的所有文件和目录。以 "/-" 结尾的路径名(递归地)指示包含在该目录中的所...
解决 ElasticSearch 中文分词器 “java.io.FilePermission\“ 的问题
qq_21568515的博客
04-12 2184
ElasticSearch 中文分词器 "java.io.FilePermission\"错误
java的权限控制
zhaoyu_nb的博客
12-29 1462
custom.policy 文件 grant codeBase &quot;file:C:/Users/viruser.v-desktop/Desktop/testPolicy/*&quot; { //permission java.security.AllPermission; permission java.io.FilePermission &quot;C:/Users/viruser.v-deskt...
java 不同项目 不同权限_如何为各种Java类授予不同的权限?
weixin_39731682的博客
02-27 368
你不需要寻找任何异国情调.处理此方案是Java安全体系结构的基本功能.每个类都有一个“代码库”,即加载它的位置.因此,如果您将每个扩展包装在单独的JAR中(或在单独的目录中展开),您将能够定制授予该代码库的权限.在你的情况下,它听起来更简单.如果我理解正确,所有扩展将具有相同的权限,这些权限小于父应用程序的权限.因此,他们都可以共享代码库.以下是策略文件的示例:grant codeBase "fi...
java 资源访问权限,限制Java中的文件访问
weixin_29131533的博客
03-14 825
小编典典使用策略文件的方法如下。创建一个可以特权使用的Java文件:package egPriv;import java.io.FileReader;import java.io.IOException;import java.io.Reader;import java.security.AccessController;import java.security.PrivilegedActionE...
java输出流 拒绝访问,访问被拒绝(&QUOT; java.io.FilePermission中的&QUOT;&QUOT;执行&QUOT;)...
weixin_42195978的博客
02-23 405
I am beginner.it is first applet that i writingi want run exe application with appletjava codepackage appletexample;import java.io.*;import java.awt.*;import java.applet.Applet;public class Welcome ex...
filepermission java_访问被拒绝(“ java.io.FilePermission”“执行”...
weixin_34898320的博客
02-13 1729
我是初学者.这是我写的第一个小程序我想用小程序运行exe应用程序package appletexample;import java.io.*;import java.awt.*;import java.applet.Applet;public class Welcome extends Applet {public void init() {String execommand = "C:\\win...
java中的安全模型(沙箱机制)
热门推荐
改变ing
10-24 3万+
参考: https://www.cnblogs.com/MyStringIsNotNull/p/8268351.html https://www.ibm.com/developerworks/cn/java/j-lo-javasecurity/ https://docs.oracle.com/javase/6/docs/technotes/guides/security/spec/securit...
微信支付沙箱环境密钥获取方法详解
3. 获取密钥:通常情况下,开发者在沙箱模式下不需要手动获取密钥,因为沙箱环境的密钥与生产环境的密钥是分开的,测试环境会提供一套默认密钥供开发者使用。如果需要更换或自定义密钥,可能需要通过微信支付的沙箱...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值