RMI的安全问题

最新推荐文章于 2023-03-21 10:33:34 发布
最新推荐文章于 2023-03-21 10:33:34 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: j2se 文章标签: exception thread access server java 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dodorunning/article/details/1317317
版权
天在测试RMI的时候,运行server端出现问题,命令如下:
D:/rmi>java -Djava.security.policy= policy.txt RMIServer
其中policy.txt是策略文件
--------------------------------------------------------------------------------------------------------------------
Exception in thread "RMI TCP Connection(2)-192.168.12.155" java.security.AccessC
ontrolException: access denied (java.net.SocketPermission 192.168.12.155:3576 ac
cept,resolve)
        at java.security.AccessControlContext.checkPermission(Unknown Source)
        at java.security.AccessController.checkPermission(Unknown Source)
        at java.lang.SecurityManager.checkPermission(Unknown Source)
        at java.lang.SecurityManager.checkAccept(Unknown Source)
        at sun.rmi.transport.tcp.TCPTransport$ConnectionHandler.checkAcceptPermi
ssion(Unknown Source)
        at sun.rmi.transport.tcp.TCPTransport.checkAcceptPermission(Unknown Sour
ce)
        at sun.rmi.transport.Transport$1.run(Unknown Source)
        at java.security.AccessController.doPrivileged(Native Method)
        at sun.rmi.transport.Transport.serviceCall(Unknown Source)
        at sun.rmi.transport.tcp.TCPTransport.handleMessages(Unknown Source)
        at sun.rmi.transport.tcp.TCPTransport$ConnectionHandler.run(Unknown Sour
ce)
        at java.lang.Thread.run(Unknown Source)
-------------------------------------------------------------------------------------------------------------------
此时, policy.txt文件如下:
---------------------------------------------------------------------------------------
grant 
  { 
    permission   java.net.SocketPermission   "*:1099","accept,connect,listen"; 
  };
--------------------------------------------------------------------------------------
修改为
--------------------------------------------------------------------------------------
grant 
  { 
    permission   java.net.SocketPermission   "*:*","accept,connect,  listen"; 
  };
-------------------------------------------------------------------------------------
后,运行正常。

题二:直接运行命令,不加策略文件,会出错
D:/rmi>java RMIServer
错误如下:
--------------------------------------------------------------------------------------
Exception in thread "main" java.security.AccessControlException: access denied (
java.net.SocketPermission 192.168.12.155:1099 connect,resolve)
        at java.security.AccessControlContext.checkPermission(Unknown Source)
        at java.security.AccessController.checkPermission(Unknown Source)
        at java.lang.SecurityManager.checkPermission(Unknown Source)
        at java.lang.SecurityManager.checkConnect(Unknown Source)
        at java.net.Socket.connect(Unknown Source)
        at java.net.Socket.connect(Unknown Source)
        at java.net.Socket.<init>(Unknown Source)
        at java.net.Socket.<init>(Unknown Source)
        at sun.rmi.transport.proxy.RMIDirectSocketFactory.createSocket(Unknown S
ource)
        at sun.rmi.transport.proxy.RMIMasterSocketFactory.createSocket(Unknown S
ource)
        at sun.rmi.transport.tcp.TCPEndpoint.newSocket(Unknown Source)
        at sun.rmi.transport.tcp.TCPChannel.createConnection(Unknown Source)
        at sun.rmi.transport.tcp.TCPChannel.newConnection(Unknown Source)
        at sun.rmi.server.UnicastRef.newCall(Unknown Source)
        at sun.rmi.registry.RegistryImpl_Stub.rebind(Unknown Source)
        at java.rmi.Naming.rebind( Unknown Source)
        at RMIServer.<init>(RMIServer.java:75)
        at RMIServer.main(RMIServer.java:37)
---------------------------------------------------------------------------------------------
运行java -Djava.security.policy= policy.txt RMIServer后正常。


这一切是为什么呢?
dodorunning
关注
专栏目录
怎么解决?
weixin_47090770的博客
04-24 383
init方法调用失败;嵌套异常为org.springframework.core.NestedIOException:无法解析配置资源:类路径资源[mybatis-config.xml];嵌套异常为org.apache.ibatis.builder.BuilderException:分析SQL映射器配置时出错。原因:java.net.AlformedURLException:无协议:mysql.properties
RMI中的安全策略
huiwen_82132000的专栏
07-13 378
以下翻译来自Java RMI的Chapter 20.Security Policies 20.3 安全管理器 在一个运转的JVM中,权限是被SecurityManager的实例强制执行的。当一个程序试图做一些需要权限的事情时,就会通过查询SecurityManager的实例来检查此操作是否可以执行。举例来说,当试图从文件中读取数据时,将包含询问安全器程序是否允许从文件中读取数据的过程。...
对于RMI(远程方法调用)如何保证数据的完整性
meiyx89的博客
05-18 285
11111
Tomcat出现警告:[RMI TCP Connection(3)-127.0.0.1] org.apache.tomcat.util.descriptor.web.WebXml.setVersion
m0_52226803的博客
12-18 4097
Tomcat启动显示警告
spring使用中出现的意外
weixin_42821448的博客
05-15 605
错误描述: 20:54:18.950 警告 [RMI TCP Connection(5)-127.0.0.1] org.apache.tomcat.util.descriptor.web.WebXml.setVersion 未知版本字符串 [4.0]。将使用默认版本。 15-May-2021 20:54:21.227 严重 [RMI TCP Connection(5)-127.0.0.1] org.apache.catalina.core.ContainerBase.addChildInternal Con
RMI
08-07
- 安全性:RMI允许跨网络调用,因此需要考虑身份验证和授权。可以通过SSL/TLS加密通信,或者使用Java的Security Manager来增强安全性。 - 性能优化:减少序列化开销,使用高效的数据结构,以及合理地设计远程方法以...
java_rmi.rar_RMI java_java.rmi
09-19
- **安全性**:RMI可以通过SSL/TLS加密通信,并且可以使用Java安全管理器来控制访问权限。 - **动态导出和导入**:服务器可以在运行时动态地导出或导入远程对象,提供更大的灵活性。 学习和理解Java RMI对于开发...
RMI.rar_Java RMI_java.rmi_java.rmi.Remot_remote
09-20
此外,RMI还涉及到安全问题,因为远程对象可能会执行敏感操作。Java RMI支持通过JVM的安全管理器设置权限,以限制远程对象的访问和行为。 总之,Java RMI是构建分布式Java应用的重要工具,它简化了网络通信的复杂...
RMI与RPC
12-21
尽管RMI提供了强大的分布式计算能力,但它也有一些局限性,如性能开销较大,依赖Java平台,不适用于非Java环境,以及安全性方面的问题。此外,RMI的序列化机制可能会导致安全漏洞,因此在实际应用中需要谨慎处理。 ...
Java安全漫谈 - 06.RMI篇(3)1
08-03
Java安全漫谈 - 06.RMI篇(3)深入探讨了Java远程方法调用(RMI)中的安全问题,特别是利用Java序列化协议来执行远程代码。在RMI服务中,codebase机制允许加载远程类,从而可能引发安全风险。本文通过分析网络数据包,...
漏洞名称:RMI 未授权访问漏洞
最新发布
qq_36902628的博客
03-21 1748
漏洞名称:RMI 未授权访问漏洞
RMI常见问题的总结
02-08 1309
          由于项目需要使用RMI,前段时间研究了下RMIRMI在整个J2EE体系中还算比较复杂的。现对碰到过的问题进行一个总结。我在研究rmi时,运行环境说明:weblogic服务器下的EJB调用另外一台服务器的远程接口。遇到的问题以及解决办法:一、java.security.AccessControlException: access denied (java.net
java jmx连接_java – Tomcat JMX连接 – 身份验证失败
weixin_29288653的博客
02-16 623
我在设置Tomcat for JMX时遇到了一些问题.我添加了以下属性CATALINA_OPTS="-Dcom.sun.management.jmxremote.port=18070 -Dcom.sun.management.jmxremote.password.file=$CATALINA_BASE/conf/jmxremote.password -Dcom.sun.mana...
jmeter可以识别php写的jar,java - Jmeter 插件运行报错
weixin_28839699的博客
03-11 230
Jmeter小白,想使用JMeterPlugins 监控远程linux的系统资源,如Memory,CPU等,本地插件已经配置完成,远程linux也已成功安装startAgent,并也成功启动,客户端和服务器之间也可以相互ping通,但是添加到本机进行监控执行jmeter时,报错如下,求高手指点:2015/11/12 10:52:17 INFO - jmeter.engine.StandardJM...
RMI加载类异常
weixin_34292959的博客
05-09 367
场景:写数据到solr,应用调的是经过封装好的jar里面的方法,连接是正常的,但是写json数据时 抛出异常。错误如下:Caused by: java.rmi.ServerException: RemoteException occurred in server thread; nested exception is: java.rmi.UnmarshalExceptio...
安全攻击原理详解(一) -- RMI
saodiseng_a的博客
12-23 1260
1. RMI 1.1 JAVA RMI 1.1.1 基本概念 RMI(Remote Method Invocation,远程方法调用)。远程方法调用是分布式编程中的一个基本思想,实现远程方法调用的技术有CORBA、WebService等(这两种独立于编程语言)。RMI则是专门为JAVA设计,依赖JRMP通讯协议。 RMI可以使我们引用远程主机上的对象,将JAVA对象作为参数传递,而这些对象要可以被序列化。就像C语言中有RPC(remote procedure calls )使远程主机上执行C函数并返回
JAVA RMI 反序列化远程命令执行漏洞
热门推荐
LeeHDsniper的博客
05-11 2万+
JAVA RMI 反序列化远程命令执行漏洞 漏洞资料 背景 原理 Payload构造 搭建本地测试环境 开启包含第三方库的RMI服务 测试RMI客户端 攻击测试 升级版攻击 Weblogic Commons-Collections反序列化RCE漏洞CVE-2015-4852JAVA RMI 反序列化远程命令执行漏洞漏洞资料Java RMI远程反序列化任意类及远程代码执行解析(CVE-2017-324
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值