Java 引用传递导致的恶意代码漏洞

21人阅读 评论(0) 收藏 举报
分类:

Java 引用传递导致的恶意代码漏洞


  1. 代码

// 赋值操作只是传递引用,多建立一个引用的关联关系
// private List<String> list; 只是创建一个指向null的引用,并没有创建一个空的List对象
// list = s这个操作看似创建了一个对象,其实也只是把list的引用从null关联到s这个对象而已


import com.google.common.collect.Lists;
import lombok.Data;
import utils.print.Print;

import java.util.List;

/**
 * @author Created by 谭健 on 2018/4/17 0017. Tuesday. 15:31.
 * © All Rights Reserved.
 * <p>
 * <p>
 * 引用传递导致的bug问题
 */
@Data
public class Reference {


    private List<String> list;

    public static void main(String[] args) throws Exception {


        Reference reference = new Reference();
        List<String> s = Lists.newArrayListWithExpectedSize(3);
        s.add("1");
        // 存到reference
        reference.setList(s);
        // 监控操作,如你所愿,成功了
        Print.echo(reference.getList());

        // 用作其它操作
        s.add("2");

        // 所有操作做完了。reference 返回去渲染

        // 然后你发现,出bug了,reference变了
        Print.echo(reference.getList());

    }


}

2.引用传递漏洞有可能导致恶意代码漏洞

假设你有一个公开的getXXX方法,返回了某个对象。[实际上返回了这个对象的引用]
某一天,一台不受信任的设备在用户允许接入的情况下连接到了你的工程并且获取了这个方法。
然后经过研究,获取了你这个对象的所有的公开方法并获取了操作权限。
比如。getPassword,setPassword,getEmail,等等。
但是他知道盗取密码不好,所以悄悄做了一层代理转发。
然后,你的所有操作,都被悄悄的监控了。
然后你就感叹,这广告真TM牛逼,我上午搜了个东东,下午广告就打过来了。
查看评论

PHP漏洞全解(三)-xss跨站脚本攻击

本文主要介绍针对PHP网站的xss跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站...
  • u013474436
  • u013474436
  • 2015-12-11 11:45:49
  • 522

过滤html恶意代码

/** * 转义HTML特殊字符 */ public static final String trunhtml(String html){ if(html ...
  • sd4015700
  • sd4015700
  • 2016-06-30 15:58:31
  • 626

Java面向对象值传递和引用传递

  • 2011年07月20日 12:16
  • 28KB
  • 下载

悬镜安全丨Java 反序列化任意代码执行漏洞分析与利用

利用国内的漏洞利用工具
  • Anprou
  • Anprou
  • 2016-11-14 10:15:56
  • 3782

过滤恶意代码图片上传

今天用linux 扫描文件时发现恶意图片 [root@bogon ~]# grep -rn "out.print" *  发现多张恶意图片如:20130724110835.jpg 用记事...
  • thl331860203
  • thl331860203
  • 2017-06-13 16:02:29
  • 410

恶意代码--pdf文件简单检测工具与恶意攻击脚本分享

0x01 pdf文件 至于整个格式adobe公司已经有相应的公开文档,同时网上的资料也很多都能查阅到。 比如文件格式 :  http://www.2cto.com/Article/201011...
  • bjtbjt
  • bjtbjt
  • 2016-10-18 17:55:08
  • 2302

Android FakeID任意代码注入执行漏洞简析

博文作者:金刚项目团队发布日期:2014-09-01阅读次数:100博文内容:u  漏洞背景 国外安全机构BlueBox在2014年7月30日公布了一个关于APK签名的漏洞——FakeID,攻击者可利...
  • jiazhijun
  • jiazhijun
  • 2014-09-02 19:25:39
  • 8660

恶意代码检测技术

今天开始,认真准备毕设。 随着恶意代码成为信息安全的重要威胁,恶意代码检测技术成为信息安全领域的重要研究方向。目前已经有基于签名、启发式、行为式等几种检测恶意代码的方法,应用最广泛也是最成熟的当属基...
  • Grace_0642
  • Grace_0642
  • 2014-02-14 19:39:38
  • 5396

你真的真的理解Java的按引用传递吗?

今天在博客上看到《你真的理解Java的按引用传递吗?》这篇博文,就好奇进去看了一下,结果发现,其实说了半天,并没有特别清楚的解释。尤其是对于传递String类型时的例子时,有点发蒙。        接...
  • xiaoxian8023
  • xiaoxian8023
  • 2015-11-05 17:01:03
  • 5060

Web恶意代码检测方法

1  引言     随着Web2.0网站的普及和互动性的增强,统计显示Web应用漏洞已成为互联网的最大安全隐患,2009年第一季度截获的挂马网站(网页数量)总数目为 197676188个,平均每天截...
  • qiuzhi__ke
  • qiuzhi__ke
  • 2016-07-28 18:23:41
  • 3262
    个人资料
    专栏达人 持之以恒
    等级:
    访问量: 19万+
    积分: 3380
    排名: 1万+
    个人说明
    博客专栏