Java字符串安全比较方法

最新推荐文章于 2023-10-17 10:23:03 发布
最新推荐文章于 2023-10-17 10:23:03 发布
阅读量503 收藏
点赞数
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cajole_zero/article/details/116310627
版权

先贴java String类源码:

public boolean equals(Object anObject) {
    if (this == anObject) {
        return true;
    }
    if (anObject instanceof String) {
        String anotherString = (String)anObject;
        int n = value.length;
        if (n == anotherString.value.length) {
            char v1[] = value;
            char v2[] = anotherString.value;
            int i = 0;
            while (n-- != 0) {
                if (v1[i] != v2[i])
                    return false;
                i++;
            }
            return true;
        }
    }
    return false;
}

这是字符串比较函数的常见实现,不受定时攻击的影响。

简而言之,这个想法是每次比较字符串时比较所有字符,即使您发现其中任何一个字符都不相等。在“标准”实现中,您只需中断第一个差异并返回false。

这是不安全的,因为它会泄露有关比较字符串的信息。具体来说,如果左边的字符串是你想保留的秘密(例如密码),而右边的字符串是用户提供的,那么不安全的方法可以让黑客通过反复尝试不同的字符串和测量响应时间,相对轻松地发现你的密码。两个字符串中相同的字符越多,“unsecure”函数就越需要比较它们。

例如,使用标准方法比较“1234567890”和“0987654321”将导致仅对第一个字符进行一次比较并返回false,因为1=0另一方面,比较“1234567890”和“1098765432”,将导致执行两个比较操作,因为第一个操作相等,所以必须比较第二个操作才能发现它们不同。这将需要更多的时间,而且是可以测量的,即使在我们谈论远程通话时也是如此。

如果您使用N个不同的字符串进行N次攻击,每个字符串都以不同的字符开头,您应该会看到其中一个结果比其他结果多花费了几分之一毫秒。这意味着第一个字符是相同的,因此函数需要花费更多的时间来比较第二个字符。冲洗和重复在字符串中的每个位置,你可以破解的秘密数量级快于暴力。

如何防止此类攻击呢?直接上代码

private static boolean SecureEquals(String a, String b)
{
    if ((a == null) || (b == null)) {
        return (a == null) && (b == null);
    }
    int len = a.length();
    if (len != b.length()) {
        return false;
    }
    if (len == 0) {
        return true;
    }
    int bits = 0;
    for (int i = 0; i < len; i++) {
        bits |= a.charAt(i) ^ b.charAt(i);
    }
    return bits == 0;
}

每个位置上做异或运算 再与上次结果做或运算。这样 每次返回时间都是一样的。

carlos_ch
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java Secure String:Java类,用于在敏感字符串的内存中长期安全存储-开源
04-25
紧凑而快速执行的Java类SecureString可以长期存储敏感字符串,从而可以抵御特权内部人员的攻击,即,很难从内存转储中内省其内容。 单击主页链接以获取白皮书,其中包含有关Java中敏感数据的内存中存储主题的详细信息和讨论。
Java字符串比较时==和equals的区别
KasoGG的专栏
08-29 771
==是比较两个字符串引用的地址是否相同,即是否指向同一个对象,而equals方法比较字符串的内容是否相同。 例如String a = "abc";     String b = "abc"; a == b返回true,a.equals(b)同样返回true,这是为什么呢?     原来程序在运行时有一个字符串池,创建字符串时会先查找池中是否有相应的字符串,如果已经存在的话
java字符串比较方法是_Java字符串比较方法
weixin_33224795的博客
03-02 141
Java String类提供了不同的比较方法,即:该compareTo()方法方法按字典顺序比较两个字符串。如果当前String对象在字典上在参数字符串之前,则此方法返回一个负整数。一个正整数,如果当前的String对象在字典上遵循该参数当字符串相等时为true。示例importjava.lang.*;publicclassStringDemo{publicstaticvoid...
Java字符串比较(3种方法
m0_74309242的博客
03-24 6157
Java字符串比较(3种方法
字符串比较equals()和equalsIgnoreCase()的区别
tjj93622的专栏
12-21 844
1、使用equals( )方法比较两个字符串是否相等。它具有如下的一般形式:boolean equals(Object str)这里str是一个用来与调用字符串(String)对象做比较字符串(String)对象。如果两个字符串具有相同的字符和长度,它返回true,否则返回false。这种比较是区分大小写的。2、为了执行忽略大小写的比较,可以调用字符串比较equals()和equalsIgnoreCa方法。当比较
JAVA字符串反转的三种方法
09-07
本文将详细介绍三种在Java中实现字符串反转的方法方法一:使用StringBuilder类 StringBuilder是Java中的一个类,它提供了动态构建字符串的能力,支持字符串的修改。因此,反转字符串的一个有效方法是通过...
Java判断字符串是否为IP地址的方法
08-18
Java判断字符串是否为IP地址的方法 Java判断字符串是否为IP地址的方法是指通过编写特定的方法来判断输入的字符串是否符合IP地址的格式。这种方法在实际开发中非常有用,特别是在网络编程和网络安全等领域。 在Java...
Java字符串进行加密解密
08-30
Java字符串加密解密 Java字符串加密解密是指使用Java语言对字符串进行...但是,Java字符串加密解密存在一些缺点,例如不安全和只适用于简单场景等。在实际应用中,我们需要根据具体情况选择合适的加密算法和实现方式。
Java字符串拼接效率测试过程解析
08-19
Java字符串拼接效率测试过程解析 Java字符串拼接效率测试过程解析是Java开发中非常重要的一个话题。字符串拼接是Java开发中最常见的操作之一,但是不同的拼接方式对性能的影响是巨大的。本文主要介绍了Java字符串...
Java实现字符串倒序输出的常用方法小结
09-04
`StringBuffer`类是Java中用于处理字符串的一个线程安全的类,它提供了`reverse()`方法可以直接将字符串内容反转。这种方式效率较高,且不会创建额外的字符串对象。示例代码如下: ```java public class Reverse...
java中“==”与“equals”的区别
Mr_HongYe的专栏
10-16 571
package com.neusoft.test;/* * 结果 * true * true * false * true */public class Test { public static void main(String[] args) {  String str1 = "abc";  String str2 = "abc";  System.out.println(str1 == s
Using SecureString
Acettest's Blogs
09-11 434
"fizzbuzz".ToCharArray ().ToList ().ForEach ( p => secureString.AppendChar ( p ) );
Java后端:字符串比较(共四种方法,有方法介绍、易错点分析、Java源码,值得一看!)
qq_46119575的博客
03-01 4096
本文介绍了Java后端的四种字符串比较方法,有方法介绍、易错点分析、Java源码等内容,总结的比较详细全面,值得一看!
认识SecureString 类
水如烟
02-06 2373
Author:水如烟 SecureString类是自动加密,可锁定,可从内存删除的文本类。基本用法如下: Dim s As New System.Security.SecureString s.AppendChar("a"c)s.AppendChar("b"c)s.AppendChar("c"c)s.AppendChar("d"c) s.MakeRe
Java字符串switch的实现细节
u011045817的专栏
10-08 2117
自从Java允许在switch及case语句中使用字符串以来,许多开发人员都使用了这一特性,不过如果使用整型或者枚举的话会更好。这是JDK7中最受欢迎的特性之一,同样的还有自动资源管理以及多异常捕获。尽管我个人不太喜欢这个特性,因为使用枚举的方式其实更好,但我并不是特别反对使用它。一个原因当然是它很方便,如果程序中已经用到了字符串,这样做的确很顺手,不过我建议在生产环境的代码中使用新特性之前最好了
String 类型 equals比较初步理解,以及 safeEquals 比较 两种不同风格的方式
大清没了的博客
07-01 1075
文章部分引用自https://mp.weixin.qq.com/s/XlBXwsCzNf_tUkTnuX3bnA 先贴一段代码,代码点进equals源码就能看到 public boolean equals(Object var1) { if (this == var1) { return true; } else { if (var1 instanceof String) { Strin..
java获取keyvault_ARM Template 结合key vault存储机密信息 (一)
weixin_32927133的博客
02-25 209
前两篇讲到了terraform,作为跨平台的IAC工具绝对是没话说的,很非常好用,今天再讲回Azure原生的ARM Template,ARM Template好处就是作为微软的亲儿子,兼容性啥的绝对没话说,但是JSON对于非开发者来说实在用着别扭,繁琐的{}[]这些能搞懵不少人。两者之间各有优劣,用哪种方式都不奇怪,所以今天也来谈一谈ARM Template里的一些小技巧,首先来谈下ARM Tem...
关于安全细节 Timing Attack
青冬的博客
05-22 326
序 since:2021年5月22日 21:12 auth: Hadi 参考: https://zhuanlan.zhihu.com/p/150689564 https://www.oracle.com/java/technologies/javase/6u17.html 前言 在知乎看到一些关于安全理论的帖子,这里我也拉过来水一片博客。参考的代码为Sacla中safeEqual字符串比较相关。 在String中的安全比较的源码如下: def safeEqual(a: String...
Java比较两个字符串是否相等(空指针安全方式,若两个字符串都有可能为空)
最新发布
qq_37924396的博客
10-17 735
所以我们在使用Object.equals比较大小的时候,尽量保证两个入参类型相等。可以看到这个equals先检查了入参是否是Integer类型,如果不是直接返回了false。”运算符,equals()方法比较字符串对象中的字符,而“==”比较两个对象引用看它们是否引用相同的实例。但是,如果str1=null,再使用str1.equals(str2)来比较的话,便会产生空指针异常。使用 Objects.euqals() 方法比较即可避免空指针异常,因为它是空指针安全的。equals()方法和。
java字符串安全拷贝
04-24
Java中的字符串是不可变的,因此在进行字符串的拷贝时需要特别注意安全问题。Java中提供了两种方法来实现字符串安全拷贝。第一种方法是使用String的构造方法,例如:String str = new String("hello world"); 这种方法可以在堆上创建一个新的字符串对象,从而保证字符串安全性。 第二种方法是使用System.arraycopy()方法,例如:char[] arr = str.toCharArray(); char[] newArr = new char[arr.length]; System.arraycopy(arr, 0, newArr, 0, arr.length); 这种方法是将原来的字符串字符数组进行拷贝,从而保证字符串安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值