三,默认沙箱

最新推荐文章于 2023-06-27 23:30:00 发布
最新推荐文章于 2023-06-27 23:30:00 发布
阅读量415 收藏
点赞数
分类专栏: 安全专题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sijidou112/article/details/45641755
版权

java默认沙箱:


一,沙箱成员(要素)

1.权限

如:permission java.io.FilePermission "<<ALL FILES>>" , "read,write,delete,execute"

2.代码源

3.保护域

4.策略文件

5.密钥库


二,代码源

权限放在最后总结

1,包含:代码基、签名者

2,代码基可以是任何合法的url,签名者是密钥库中的某一个别名。


三、密钥库

保存证书和密码的数据库。代码如果被签名,需要用密钥库中的证书才能验证


四,策略文件

代码源的权限记录,

我们可以这么说:在这个文件里面,配置了java代码的各种权限。Java代码如果没有权限访问某一个文件,可能与这个配置文件有很大关系


%javahome%\jre\lib\security\java.policy文件默认代码:


// Standard extensions get all permissions by default

grant codeBase "file:${{java.ext.dirs}}/*" {
        permission java.security.AllPermission;
};

// default permissions granted to all domains

grant {
        // Allows any thread to stop itself using the java.lang.Thread.stop()
        // method that takes no argument.
        // Note that this permission is granted by default only to remain
        // backwards compatible.
        // It is strongly recommended that you either remove this permission
        // from this policy file or further restrict it to code sources
        // that you specify, because Thread.stop() is potentially unsafe.
        // See the API specification of java.lang.Thread.stop() for more
        // information.
        permission java.lang.RuntimePermission "stopThread";

        // allows anyone to listen on dynamic ports
        permission java.net.SocketPermission "localhost:0", "listen";

        // "standard" properies that can be read by anyone

        permission java.util.PropertyPermission "java.version", "read";
        permission java.util.PropertyPermission "java.vendor", "read";
        permission java.util.PropertyPermission "java.vendor.url", "read";
        permission java.util.PropertyPermission "java.class.version", "read";
        permission java.util.PropertyPermission "os.name", "read";
        permission java.util.PropertyPermission "os.version", "read";
        permission java.util.PropertyPermission "os.arch", "read";
        permission java.util.PropertyPermission "file.separator", "read";
        permission java.util.PropertyPermission "path.separator", "read";
        permission java.util.PropertyPermission "line.separator", "read";

        permission java.util.PropertyPermission "java.specification.version", "read";
        permission java.util.PropertyPermission "java.specification.vendor", "read";
        permission java.util.PropertyPermission "java.specification.name", "read";

        permission java.util.PropertyPermission "java.vm.specification.version", "read";
        permission java.util.PropertyPermission "java.vm.specification.vendor", "read";
        permission java.util.PropertyPermission "java.vm.specification.name", "read";
        permission java.util.PropertyPermission "java.vm.version", "read";
        permission java.util.PropertyPermission "java.vm.vendor", "read";
        permission java.util.PropertyPermission "java.vm.name", "read";
};




java默认的策略文件路径为:javahome/jre/lib/security/java.policy

策略文件可以通过 policytool工具进行管理,不宜出错

策略文件可以自定义,可以有多个,前提是需要修改java.security文件,


如java.security文件修改如下:

 #把policy.allowSystemProperty 设置为true,允许指定系统属性

policy.allowSystemProperty = true  

#策略文件必须按顺序编号

policy.url.1=file:${java.home}/lib/security/java.policy

policy.url.2=file:${java.home}/lib/security1/java.policy  




五,权限

权限组成要素:类型,名,操作

1,文件权限

如:permission java.io.FilePermission "<<ALL FILES>>" , "read,write,delete,execute"

类型:permission java.io.FilePermission

名:文件的名称(全路径)、通配表示、<<ALL FILES>>等特殊表示

操作: read,write,delete,execute


2,套接字权限

类型:java.net.SocketPermission

名:地址:端口

操作:accept   listen  connect   resolve

如:permission java.net.SocketPermission "*:1-","accept,listen"


3,属性权限

名:java虚拟机属性名

操作:读、写

permission java.util.PropertyPermission "java.*","read"


4,运行时权限

类型:java.lang.RuntimePermission

名:

accessClassInPackage.<name>

accessDeclaredMembers

createClassLoader

createSecurityManager

defineClassInPackage.<name>

exitVM

getClassLoader

getProtectionDomain 获得保护域

loadlibrary.<name> 装载制定的类库

modifyThread 调整线程参数

modifyThreadGroup

queuePrintJob

setIO

stioThread

setSecurityManager 设置安全管理器

..

操作:无,要么执行,要么不执行,所以不需要定义操作

如:permission java.lang.RuntimePermission "accessClassInPackage.sdo.foo"

有一些需要注意的地方  

注意1、.<name>的使用,有点特殊。上句说明sdo.foo包中的类可以被访问。sdo被设置在security文件中,如下

package.access=sun,.sdo.  ,一般这里设置的都是一些特殊的包,如sun包,不允许用户代码直接访问的。

注意2、不准在java标准包中定义任何类,即使有权限也无济于事


5,网络权限(除了套接字,java实现了url等网络类)

类型:java.net.NetPermission

名:specifyStreamHander ,在url类中安装新的流处理器

操作:无


6,AWT权限


7,安全权限

类型:java.security.SecurityPermission

名:addIdentityCertificate 为Identity对象增加一个证书

createAccessControlContext 创建存取控制环境

getDomainCombiner 撤销保护域

getProperty.<prop.name> 读取安全属性

getSignerPrivateKey

...


操作:无


8,序列化权限

类型:java.io.SerializablePermission

名:

enableSubstitution 允许创建对象流 ObjecIInputStream  ObjectOutputStream

enableSubclassImplementation  允许创建对象流子类,覆盖readObject(),writeObject()方法

操作:无


9,反射权限

类型:java.lang.reflect.ReflectPermission

名:suppressAccessChecks  ,检查私有变量

操作:无



10,完全权限

类型:java.security.AllPermission

名:无

操作:无

 



sijidou112
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cuckoo沙箱环境
学-> 思->用
04-28 287
监控系统调用,网络流量,文件操作并结合反调试和反虚拟化技术,以防止恶意软件逃逸(例如,恶意软件可能会尝试检测是否在虚拟机环境中运行,以避免被分析)。收集样本在运行过程中创建或者下载的文件,可能包含恶意代码、配置文件、日志文件等,可以分为写入磁盘和存储在内存中的缓冲区中的两者。自动下载相关的恶意文件或链接,然后在虚拟环境中运行并收集有关其行为的信息,最终生成有关该恶意文件的报告。注册表键值:恶意软件可能会修改或创建注册表键值,因此从提取的工件中可以获取到关于该恶意软件的更多信息。
java 资源访问权限,限制Java中的文件访问
weixin_29131533的博客
03-14 747
小编典典使用策略文件的方法如下。创建一个可以特权使用的Java文件:package egPriv;import java.io.FileReader;import java.io.IOException;import java.io.Reader;import java.security.AccessController;import java.security.PrivilegedActionE...
java java.security,java.security.AccessControlException:访问被拒绝(java.io.FilePermission
weixin_39760295的博客
02-20 453
final File parentDir = new File("S:\\PDSPopulatingProgram");parentDir.mkdir();final String hash = "popupateData";final String fileName = hash + ".txt";final File file = new File(parentDir, fileName);f...
JAVA APPLET读本地文件权限问题及解决办法
热门推荐
gyflyx的专栏
05-27 1万+
<br />综合网络上的资料有2中方法:<br /> 1,使用数字签名。<br /> 2,修改策略文件。<br />这里使用的方法是修改策略文件:<br />首先要确定IE所使用的Jre安装在哪个目录下。但没有找到比较好的方法,一般默认是C:/Program Files/Java/下。从IE的Internet选项中可以看到目前使用的版本,那就进入C:/Program Files/Java/中对应版本的文件夹。本机是C:/Program Files/Java/j2re1.4.2_05/<br />
Java安全——策略文件说明
最新发布
多头注意力探索Now
06-27 2004
java安全策略文件说明
解决es的hanlp插件报java.io.FilePermission“ “data/dictionary/CoreNatureDictionary.tr.txt“ “read“错误
佐勒之博
02-15 2833
解决es的hanlp插件报java.io.FilePermission" “data/dictionary/CoreNatureDictionary.tr.txt” "read"错误 在更新elasticsearch并更新对应的分词插件之后出现了以下的错误: java.io.FilePermission" "data/dictionary/CoreNatureDictionary.tr.txt" "read" 但是我在win10的权限都是完全控制的,所以对这个很奇怪 在网上说了很多要修改java8的j
java的权限控制
zhaoyu_nb的博客
12-29 1344
custom.policy 文件 grant codeBase &quot;file:C:/Users/viruser.v-desktop/Desktop/testPolicy/*&quot; { //permission java.security.AllPermission; permission java.io.FilePermission &quot;C:/Users/viruser.v-deskt...
(四)沙箱机制
Luckyzhoufangbing的博客
02-05 457
使用single-spa会出现父子应用样式相互影响的问题,如何进行样式隔离呢? 1. 使用 BEM (Block Element Modifier)约定项目前缀 2. 使用 css modules 打包时生成不冲突的选择器名 3. css-in-js (不建议) 4. shadow Dom 真正意义上的隔离 沙箱机制 1. 快照机制 原理就是运行在某一环境A时,打一个快照,当从别的环境B切换回来的时候,我们通过这个快照就可以立即恢复之前环境A时的情况 简单一句话:保存不同 切换应用的时.
imacros-load-library:在iMacros的沙箱环境中加载第方库
05-03
然而,这也意味着默认情况下,沙箱环境可能不允许直接加载外部库。 加载第方库通常涉及到JavaScript的`<script>`标签或者使用`eval()`函数。但在iMacros的沙箱环境中,这些方法可能会受到限制。不过,通过一些...
支付宝IDEA沙箱支付,直接导入IDEA就能用
09-21
当你将这个项目导入IDEA后,你需要将这些配置信息替换掉默认的,包括: 1. APPID:每个应用的唯一标识,用于识别你的应用。 2. 商户私钥:用于生成签名,确保交易的安全性。 3. 支付宝公钥:用于验证支付宝返回的...
开源免费沙箱增强版 Sandboxie Plus 0.7.3 + x64 中文免费版.zip
06-01
您可以立即获得默认沙箱。要在沙盒中运行应用程序,只需选择“创建新盒子”,输入名称,选择有问题的盒子,然后运行程序。最初,所有在沙箱中运行的应用看起来都很正常。但是,您可以观察到将鼠标光标移至窗口边框...
物化沙箱
02-14
3. **JavaScript文件**(script.js):可能包含了初始化组件、添加交互功能或扩展Materialize默认行为的代码。 4. **HTML文件**(index.html等):实际的网页结构,包含了Materialize组件的实例。 5. **图片和其他...
java 不同项目 不同权限_如何为各种Java类授予不同的权限?
weixin_39731682的博客
02-27 316
你不需要寻找任何异国情调.处理此方案是Java安全体系结构的基本功能.每个类都有一个“代码库”,即加载它的位置.因此,如果您将每个扩展包装在单独的JAR中(或在单独的目录中展开),您将能够定制授予该代码库的权限.在你的情况下,它听起来更简单.如果我理解正确,所有扩展将具有相同的权限,这些权限小于父应用程序的权限.因此,他们都可以共享代码库.以下是策略文件的示例:grant codeBase "fi...
java输出流 拒绝访问,访问被拒绝(&QUOT; java.io.FilePermission中的&QUOT;&QUOT;执行&QUOT;)...
weixin_42195978的博客
02-23 364
I am beginner.it is first applet that i writingi want run exe application with appletjava codepackage appletexample;import java.io.*;import java.awt.*;import java.applet.Applet;public class Welcome ex...
【异常】java.security.AccessControlException: access denied (“java.io.FilePermission“ “文件位置” “read“)
qq_43478653的博客
03-05 3228
项目场景: 调用javaApplet的drawImage()绘制图片时,出现如上所示异常,其中html配置如下: 表示将*.html文件的上级目录下的lib下的jpg文件当做参数赋值给applet中的成员变量image。 解决方案: 在java的此安装目录下: C:\Program Files\Java\jdk1.8.0_181\jre\lib\security 有一个java.policy文件: 在文件最下面添加如下内容 permission java.security.AllPermissi
filepermission java_访问被拒绝(“ java.io.FilePermission”“执行”...
weixin_34898320的博客
02-13 1650
我是初学者.这是我写的第一个小程序我想用小程序运行exe应用程序package appletexample;import java.io.*;import java.awt.*;import java.applet.Applet;public class Welcome extends Applet {public void init() {String execommand = "C:\\win...
java.io.file.sync_java.io.FilePermission
weixin_36378683的博客
02-28 276
public final class FilePermission此类表示对文件和目录的访问。FilePermission 由路径名和对该路径名有效的操作集合组成。路径名是授予指定操作的文件或目录的路径名。以 "/*"(其中 "/" 是文件分隔符字符,即 File.separatorChar)结尾的路径名指示包含在该目录中的所有文件和目录。以 "/-" 结尾的路径名(递归地)指示包含在该目录中的所...
Elasticsearch 执行语句时报错java.io.FilePermission
龙源IT 的博客
11-23 1593
"reason": "access denied (\"java.io.FilePermission\" \"F:\\Elasticsearch\\elasticsearch-5.6.8%20-%2001\\plugins\\ik-analyzer\\config\\IKAnalyzer.cfg.xml\" \"read\")"
Java 日看一类(20)之IO包中的FilePermission类与FilePermissionCollection类
github_37666068的博客
03-11 1707
该类继承自Permission类,并完成了Serializable接口引入了如下包:import java.security.*; import java.util.Enumeration; import java.util.List; import java.util.ArrayList; import java.util.Vector; import java.util.Collections...
阿里技术揭秘:Android应用程序沙箱安全机制详解
在Android系统中,"应用程序沙箱"是其核心安全机制之一,旨在保障用户数据和系统资源的安全,以及提供应用程序之间的有效隔离。这个概念主要体现在以下几个方面: 1. **安全体系结构**: Android平台基于Linux内核...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值