Java SecurityManager解析

最新推荐文章于 2023-06-23 01:03:24 发布
最新推荐文章于 2023-06-23 01:03:24 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: 笔记 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47201748/article/details/119176048
版权

Java SecurityManager类解析

SecurityManager,顾名思义,安全管理,通俗地讲,该类用于对java程序的某些行为进行安全检查,判断该行为是否合法,是否要继续执行。

首先,我们来看看SecurityManager的构造方法:

    public SecurityManager() {
        synchronized(SecurityManager.class) {
            SecurityManager sm = System.getSecurityManager();
            if (sm != null) {
                // ask the currently installed security manager if we
                // can create a new one.
                sm.checkPermission(new RuntimePermission
                                   ("createSecurityManager"));
            }
            initialized = true;
        }
    }

我们在创建一个SecurityManager对象时,构造方法里会调用System类里的getSecurityManager()方法,System类下的getSecurityManager()与返回值security 成员变量如下:

private static volatile SecurityManager security = null;    
public static SecurityManager getSecurityManager() {
        return security;
    }

在没有对security赋值前,security为null,getSecurityManager()返回的也是null,在SecurityManager构造方法里,若System.getSecurityManager()返回是null,则不会执行if语句里的权限检查代码块。小伙伴们可能就想,System里既然有getSecurityManager(),那肯定也有相关的set方法,当然,不然的话一直返回null那不就没有意义了吗,我们来看看:

    public static
    void setSecurityManager(final SecurityManager s) {
        try {
            s.checkPackageAccess("java.lang");
        } catch (Exception e) {
            // no-op
        }
        setSecurityManager0(s);
    }

    private static synchronized
    void setSecurityManager0(final SecurityManager s) {
        SecurityManager sm = getSecurityManager();
        if (sm != null) {
            // ask the currently installed security manager if we
            // can replace it.
            sm.checkPermission(new RuntimePermission
                                     ("setSecurityManager"));
        }

        if ((s != null) && (s.getClass().getClassLoader() != null)) {
            AccessController.doPrivileged(new PrivilegedAction<Object>() {
                public Object run() {
                    s.getClass().getProtectionDomain().implies
                        (SecurityConstants.ALL_PERMISSION);
                    return null;
                }
            });
        }

        security = s;
    }

两个关于set的方法,我们来看最后一行代码 security = s; 这里就是开始设置System类里的security变量,设置后返回就不会是null了,而s由setSecurityManager0方法参数传进来,setSecurityManager0由setSecurityManager调用,我们最后回归到第一个set方法,第一个set方法的s变量也由外部传入。我想了想,System类或者其他类里在进行某些操作时会不会有自动调用setSecurityManager的方法,很抱歉没有,所以总结出来,该方法需要我们手动调用并赋值,大家就可以简单理解为:

我们需要手动开启SecurityManager的安全检查,开启后SecurityManager即可为其他方法行为进行权限检查

//示例Runtime里的exit方法进行时就会进行行为检查    
public void exit(int status) {
        SecurityManager security = System.getSecurityManager();
        if (security != null) {
            security.checkExit(status);
        }
        Shutdown.exit(status);
    }

SecurityManager通过抛出异常来阻止没有权限或敏感操作的完成。 如果操作被允许执行,则简单的返回,如果操作被拒绝,则抛出一个SecurityException。 对于这种处理方式唯一的例外就是checkTopLevelWindow方法,此方法返回boolean值。

当前安全管理器被设置通过System类的setSecurityManager方法。获取当前安全管理器用System类的getSecurityManager方法。
SecurityManager中特定的方法checkPermission(java.security.Permission)负责明确允许还是拒绝由指定权限所指示的访问请求,默认的实现是:
AccessController.checkPermission(perm);
若果一个请求访问被允许,则checkPermission安静的返回,如果被拒绝,则抛出一个SecurityException异常。

从Java 2 SDK v1.2 开始,SecurityManager 中其他所有 check 方法的默认实现都是调用 SecurityManager checkPermission
方法来确定调用线程是否具有执行所请求操作的权限。

权限分为以下类别:文件、套接字、网络、安全性、运行时、属性、AWT、反射和可序列化。管理各种权限类别的类是   java.io.FilePermission

java.net.SocketPermission

java.net.NetPermission

java.security.SecurityPermission

java.lang.RuntimePermission

java.util.PropertyPermission

java.awt.AWTPermission

java.lang.reflect.ReflectPermission

java.io.SerializablePermission

   //示例,通过Runtime类的exit方法中的security.checkExit(status),我们来到SecurityManager类下的checkExit方法,该方法
   //就创建了RuntimePermission对象
   public void checkExit(int status) {
        checkPermission(new RuntimePermission("exitVM."+status));
    }

除前两个(FilePermission 和 SocketPermission)类以外的所有类都是 java.security.BasicPermission 的子类,而 java.security.BasicPermission 类又是顶级权限类 java.security.Permission 的抽象子类. BasicPermission 定义了所有权限所需的功能,这些功能的名称遵从分层属性命名惯例(例如“exitVM”、“setFactory”、“queuePrintJob”等等)。在名称的末尾可能出现一个星号,前面是“.”或星号,这表示通配符匹配。例如:“a.”、“”是有效的,而“a”或“ab”是无效的。
FilePermission 和 SocketPermission 是顶级权限类 (java.security.Permission) 的子类。像这些命名语法比 BasicPermission 所用的语法更为复杂的类都直接是 Permission 的子类,而不是 BasicPermission 的子类。例如,对于 java.io.FilePermission 对象而言,权限名就是文件(或目录)的路径名。

某些权限类具有一个“动作”列表,告知允许对象所执行的动作。例如,对于 java.io.FilePermission 对象,动作列表(如“读、写”)指定了允许对指定文件(或指定目录中的文件)执行哪些动作。其他权限类是“指定的”权限 - 有名称但没有动作列表的类;您也许有指定的权限,也许没有。注:还有一个暗指所有权限的 java.security.AllPermission 权限。该权限是为了简化系统管理员的工作而存在的,因为管理员可能需要执行很多需要所有(或许多)权限的任务。

SecurityManager应用场景:

当运行未知的Java程序的时候,该程序可能有恶意代码(删除系统文件、重启系统等),为了防止运行恶意代码对系统产生影响,需要对运行的代码的权限进行控制,这时候就要启用Java安全管理器。

启动安全管理器:

  • 参数启动(指定 -Djava.security.manager)
  • 通过程序打开SecurityManager SecurityManager sm = new SecurityManager(); System.setSecurityManager(sm);

关闭安全管理器:

程序关闭: SecurityManager sm = System.getSecurityManager(); if(sm != null){ System.setSecurityManager(null); }

今日重到苏澜桥
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989)
文公子的博客
11-03 3363
Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989) Apache Shiro是一个强大且易用的Java安全框架,它可以用来执行身份验证、授权、密码和会话管理。目前常见集成于各种应用中进行身份验证,授权等。 漏洞详情 腾讯安全玄武实验室研究员发现在Apache Shiro 1.5.3之前的版本,将Apache Shiro与Spring控制器一起使用时,特制请求可能会导致身份验证绕过。 漏洞发现者 该漏洞由腾讯安全玄武实验室的Ruilin发现并报告,此外来自边界无限的淚笑也独立向官方报
Java安全管理器-SecurityManager
最新发布
sunyingboaini的博客
04-11 1537
SecurityManagerJava中的一个类,用于实现安全管理功能。它允许应用程序在运行时对安全策略进行动态管理,并控制哪些操作可以执行,哪些应该被拒绝。主要功能包括:安全策略管理:SecurityManager允许定义一组安全策略,这些策略规定了在运行时哪些操作是允许的,哪些是禁止的。权限控制:通过SecurityManager可以控制对敏感资源的访问权限,比如文件系统、网络等。
Fortify安全扫描Java Android 代码审计 问题及解决方案整理
Swallow的博客
10-16 7649
Access Control: SecurityManager Bypass Explanation 使用通过即时调用者的类加载器检查执行任务的 Java API 时应小心谨慎。这些 API 会绕过可确保已向执行链中的所有调用者授予了必需安全权限的 SecurityManager 检查。由于这些 API 可能会削弱系统安全性,因此不应在不可信认的代码上调用它们。 在这种情况下: 1. 可以通过...
java7 安全漏洞_Java7最新安全漏洞临时解决方法
weixin_32153867的博客
02-13 655
Oracle Java Runtime Environment (JRE)是一款为JAVA应用程序提供可靠运行环境的解决方案。 Oracle JRE7环境中的jmx.mbeanserver.JmxMBeanServer类存在沙盒绕过漏洞使得远程攻击者可以绕过java securityManager检查远程执行任意java代码控制用户系统。 目前Oracle Java Runtime Enviro...
Java安全管理器——SecurityManager
一只小棉花的博客
10-19 5961
原文出处:http://bubuko.com/infodetail-306759.html 转自:https://blog.csdn.net/okjxp/article/details/78581599 总的来说,Java安全应该包括两方面的内容,一是Java平台(即是Java运行环境)的安全性;二是Java语言开发的应用程序的安全性。由于我们不是J...
System.getSecurityManager取值为null
weixin_41590284的博客
07-12 2390
今天写了个简单的File类测试 结果用到file.list()方法时,里面有个 SecurityManager security = System.getSecurityManager(); 的判断一直为空,导致list无法起效,特此立个帖子方便以后查找原因
Java-API简析_java.lang.SecurityManager类(基于 Latest JDK)(浅析源码)
热门推荐
进步*于辰的博客
06-23 1万+
本篇文章是我解析Java-API的笔记,更多的是从方法着手,少对类的整体情况进行说明,故并不详尽,可供大家参考。 如果文中阐述不全或不对的,多多交流。
深入解析Java中的Classloader的运行机制
09-03
本文将深入解析Java中的Classloader运行机制,特别是从JVM的角度探讨类加载器的委托机制。 首先,Java中的Classloader分为两类:用户自定义的和JVM内置的。用户自定义的Classloader通常是`java.lang.ClassLoader`的...
JAVA2 SDK 类库.rar_java 类库
09-23
11. **安全管理库**:Java的安全模型由SecurityManager实现,限制了代码的权限,保护系统免受恶意代码的侵害。 12. **并发和并行库**:java.util.concurrent包包含了许多并发工具类,如Semaphore、CountDownLatch、...
基于Java的两个通用安全模块的设计与实现.rar
01-07
此模块可能涉及到`java.security.Permission`,`java.security.Policy`和`java.lang.SecurityManager`等类的使用,以定义和实施访问控制策略。 6. 安全配置与日志记录: 安全模块还需要良好的配置管理,以适应不同...
基于Java的XML解析与反射设计模式.doc
05-30
java对通过网络下载的类具 有一个安全防范机制(类classloader),如分配不同的名字空间以防替代本地的同名类 、字节代码检查,并提供安全管理机制(类securitymanager)让java应用设置安全哨兵 。多元性,作为现下...
java 1.6 API 中文版
12-27
Java 1.6的安全模型包括了SecurityManager、Permission和AccessController等类,以确保代码的执行安全,防止恶意代码的入侵。 以上只是Java 1.6 API的一部分核心内容,实际的中文版API文档还包含了更多详细的类和...
SecurityManager安全管理器
luoxun11的专栏
08-02 315
权限设定文件F:/my.policy类容如下: [code="file"]grant{ permission java.io.FilePermission "F:/*", "read"; };[/code] 作用:在应用程序中访问F:盘符下的所有文件时只能读取不能写入。 在这里其实有很多的权限设定如: [color=blue][list] [*]AllPermission [*]...
java 反射 静态_如何使用反射检查方法是否是静态的?
weixin_26833205的博客
02-16 1029
问题我想在运行时发现一个类的静态方法,我该怎么做?或者,如何区分静态和非静态方法。#1 热门回答(160 赞)UseModifier.isStatic(method.getModifiers())。/*** Returns the public static methods of a class or interface,* including those declared in super ...
探索java security manager
liupc123123的专栏
06-25 1582
探索java security manager 从setAccessble引入 今天看了点以前写的关于java 反射的代码,再次回忆起了一个当初就没弄太明白的一个问题,先看看引出问题的代码: MyObject.java public class MyObject { public String name; public int age; public enum S
getSecurityManager详解
lonelyhiker
01-30 1249
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZsRPWgrO-1675067056442)(//common.cnblogs.com/images/copycode.gif)]](javascript:void(0);[[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YhgLdeuo-1675067056447)(//common.cnblogs.com/images/copycode.gif)]](javascript:void(0);
java安全管理器SecurityManager入门
weixin_30703911的博客
12-21 1499
一、文章的目的   这是一篇对Java安全管理器入门的文章,目的是简单了解什么是SecurityManager,对管理器进行简单配置,解决简单问题。   比如在阅读源码的时候,发现这样的代码,想了解是做什么的: SecurityManager security = System.getSecurityManager(); if (security != null) { s...
java 沙箱_java沙箱绕过
weixin_34737066的博客
02-12 616
0x00 前言最近两年CTF比赛中出现了Python沙箱绕过,关于Python沙盒的文章比较多,其实Java也有沙箱。而恰好笔者在做安全测试的时候遇到了Java沙箱,于是研究了一下Java沙箱的绕过。虽然Java不像PHP和python那么灵活,但是Java沙箱能玩的地方还是挺多的。文章脑图如下,配合食用效果更佳。有错误或者疏漏的地方请各位指出,欢迎联系c0d3p1ut0s@gmail.com。0...
JDK18-security-developer-guide.pdf
08-08
文档还包含了对Java平台安全模型的深入解析,例如沙箱模式(sandboxing)、Java证书存储(KeyStore)管理,以及如何处理安全漏洞和风险。此外,指南还可能会涵盖如何在JDK 18环境下进行安全审计,以及如何处理HTTPS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值