java安全敏感异常 安全_java安全编码指南之:敏感类的拷贝

最新推荐文章于 2023-04-24 21:42:57 发布
最新推荐文章于 2023-04-24 21:42:57 发布
阅读量120 收藏
点赞数
文章标签: java安全敏感异常 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39707478/article/details/114749943
版权

简介

一般来说class中如果包含了私有的或者敏感的数据的时候是不允许被拷贝的。

如果一个class不想被拷贝,我们是不是不提供拷贝的方法就能保证class的安全了呢?

一起来看看吧。

一个简单的SensitiveObject

假如我们有下面的一个SensitiveObject,它的作用就是存储一个password,并且提供了一个修改password的方法:

public class SensitiveObject1 {

private char[] password;

SensitiveObject1(String iniValue){

this.password = iniValue.toCharArray();

}

public final String get() {

return String.valueOf(password);

}

public final void doPasswordChange(){

for(int i = 0; i < password.length; i++) {

password[i]= '*' ;}

}

public final void printValue(){

System.out.println(String.valueOf(password));

}

}

看上去没什么问题,如果我们希望密码被返回之后就不能够被修改,应该怎么做呢?

SensitiveObject的限制

为了实现上面的功能,我们可以考虑引入一个是否返回的变量,如果返回过了,就不允许进行密码修改了。

那么我们可以将上面的代码修改成这样:

public class SensitiveObject2 {

private char[] password;

private boolean returned=false;

SensitiveObject2(String iniValue){

this.password = iniValue.toCharArray();

}

public final String get()

{

if(!returned) {

returned=true;

return String.valueOf(password);

}else {

throw new IllegalStateException("已经返回过了,无法重复返回");

}

}

public final void doPasswordChange(){

if(!returned) {

for (int i = 0; i < password.length; i++) {

password[i] = '*';

}

}

}

}

通过加入了returned标签,我们可以控doPasswordChange方法,只能在未返回之前进行密码修改。

我们看下调用代码:

SensitiveObject2 sensitiveObject2= new SensitiveObject2("www.flydean.com");

sensitiveObject2.doPasswordEncrypt();

System.out.println(sensitiveObject2.get());

对SensitiveObject的攻击

怎么对上述代码进行攻击呢?

如果我们想在密码返回之后仍然对密码进行修改,怎么做到呢?

如果SensitiveObject2可以拷贝,我们是不是就能够保存一份char[]和boolean的副本了呢?

因为char[]属于引用拷贝,所以在拷贝的副本里面对char[]进行修改完全可以影响到原SensitiveObject2的内容。

但是,虽然clone方法是定义在Object中的,如果子类没有实现Cloneable接口的话,将会抛出CloneNotSupportedException异常。

考虑到SensitiveObject2不是一个final的类,我们可以通过继承SensitiveObject2来实现目的:

public class MaliciousSubSensitiveObject extends SensitiveObject2 implements Cloneable{

MaliciousSubSensitiveObject(String iniValue) {

super(iniValue);

}

public MaliciousSubSensitiveObject clone(){

MaliciousSubSensitiveObject s = null;

try {

s = (MaliciousSubSensitiveObject)super.clone();

} catch(Exception e) {

System.out.println("not cloneable");

}

return s;

}

public static void main(String[] args) {

MaliciousSubSensitiveObject object1 = new MaliciousSubSensitiveObject("www.flydean.com");

MaliciousSubSensitiveObject object2 = object1.clone();

String password1= object1.get();

System.out.println(password1);

object2.doPasswordChange();

object1.printValue();

}

}

可以看到,虽然object1先返回了password,但是这个password被clone过的object2进行了修改,最终导致object1中的password值发生了变化。

解决办法

怎么解决呢?

一个简单的方法就是将SensitiveObject class定义为final,这样就不能继承,从而避免了上诉问题。

本文的例子:

最通俗的解读,最深刻的干货,最简洁的教程,众多你不知道的小技巧等你来发现!

欢迎关注我的公众号:「程序那些事」,懂技术,更懂你!

weixin_39707478
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java保护性拷贝
Cobb141的博客
03-12 253
对于不可变,我们在构造器中或方法返回引用对象时要考虑进行保护性拷贝。 下面是一个不安全的例子: public final class Period{ private final Data start; private final Date end; public Period(Date start, Date end){ //此处省略参数有效性检验。。。 this.start = start; this.end = end;
java安全拷贝_java安全编码指南之:敏感拷贝
weixin_39743369的博客
02-28 142
目录@H_502_4@502_4@@H_403_1@简介一般来说class中如果包含了私有的或者敏感的数据的时候是不允许被拷贝的。@H_403_1@如果一个class不想被拷贝,我们是不是不提供拷贝的方法就能保证class的安全了呢?@H_403_1@一起来看看吧。@H_403_1@一个简单的SensitiveObject假如我们有下面的一个SensitiveObject,它的作用就是存储一个pa...
Java防御性拷贝
平安使者
06-16 1605
Java防御性拷贝原因举例解决方案总结 原因 假定的客户端,尽力摧毁的不变量,破坏这个的约束条件,因此你必须保护性的设计程序。 但更常见的是,你的将不得不处理由于善意得程序员诚实错误而导致的意外行为。不管怎样,花时间编写在客户端行为不佳的情况下仍然保持健壮的是值得的。 举例 考虑以下,表示一个不可变的时间期间: // Broken "immutable" time period cla...
java安全编码指南之:敏感拷贝
热门推荐
程序那些事
09-27 1万+
一般来说class中如果包含了私有的或者敏感的数据的时候是不允许被拷贝的。 如果一个class不想被拷贝,我们是不是不提供拷贝的方法就能保证class的安全了呢? 一起来看看吧。
scp(secure copy)安全拷贝
weixin_30808575的博客
03-30 367
scp(secure copy)安全拷贝 (1)scp定义: scp可以实现服务器与服务器之间的数据拷贝。(fromserver1toserver2) (2)基本语法 命令 递归 要拷贝的文件路径/名称 目的用户@主机:目的路径/名称 scp -r $pdir/$fname $user@hadoop$host:$pdir/$fname 转载于...
新版Android开发教程.rar
12-14
� Google 提供了一套 Java 核心包 (J2SE 5,J2SE 6) 的有限子集,尚不承诺遵守 Java 任何 Java 规范 , 可能会造 成J ava 阵营的进一步分裂。 � 现有应用完善度不太够,需要的开发工作量较大。--------------------...
Python 核心编程 第二版
09-07
第1部分占据了大约三分之二的篇幅,阐释这门语言的“核心”内容,包括基本的概念和语句、语法和风格、 Python对象、数字型、序列型、映射和集合型、条件和循环、文件和输入/输出、错误和异常、函数和函数式...
asp.net知识库
06-18
常用编码工具,支持base64,md5,des,crc32 也谈谈技术面试 在C#里把ArrayList转换为Array 或 把Array转换为ArrayList C# 2.0 在.NET 2.0中,让你的组件也可以绑定 .NET20 一种简单的窗口控件UI状态控制方法 翻译MSDN...
MYSQL中文手册
03-11
5.6.1. 通用安全指南 5.6.2. 使MySQL在攻击者面前保持安全 5.6.3. Mysqld安全相关启动选项 5.6.4. LOAD DATA LOCAL安全问题 5.7. MySQL访问权限系统 5.7.1. 权限系统的作用 5.7.2. 权限系统工作原理 5.7.3. ...
Java中的拷贝
最新发布
m0_51808048的博客
04-24 1432
Java中对象的拷贝 ,由于在面试中被吊打了,学习小记
安全拷贝 Protecte Copy
球球之家
01-03 1038
java中 如果两个引用指向同一个变量 其中某一个引用更改了值那么另一个引用使用此值时也会改变   有些情况下 我们不允许外界可以任意修改变量的值  例如  银行单位   具体怎么实现如下例 例  一个学校再招生之后不允许学生私自不来上课 或者退学 public class Clazz { private String[] studs; public Clazz(String[] ss
Java 对象深度拷贝及效率和安全比较(完善版)
qq_29834241的博客
09-14 576
前言 首先说一下本文中对于对象拷贝和对象深度拷贝的理解和定义 对象拷贝:把一个对象里面的字段通过反射赋值到另一个不同的对象中,其字段型一致,字段名一致。 对象深度拷贝:把一个对象里面的字段通过反射赋值到另一个不同的对象中,其字段型可以不一致,字段名可以不一致。 不一致的字段只能是自定义对象。 详细说明一下对象深度拷贝 比如我需要把Source对象拷贝到Target对象,他们是不同的对象,字段型不一致 但是其包含对象SourceDeep和TargetDeep他们的字段型和字段名称一致。 然后在这种情况
注意型的拷贝行为
foreveyking的博客
05-24 438
当一个拷贝时,会面临许多的问题,其中之一就是对于一个所拥有的资源能否被复制的问题。比如,自己要创建一个智能指针型的,那么对于这个拷贝初始化怎么办呢,如果直接赋值指针,那会造成非常严重的后果,这显然是不可取的。那么我们该怎么做呢,在effective中有四种方法禁止不合理的拷贝行为。 1.禁止赋值:当自定义的对象被复制并不合理的时候,那么可以将copying操作声明为禁止的,在c+
浅析的“深拷贝
flyinghearts的专栏
06-16 2769
㈠ new的基本知识:先说说new操作符:new有三种:new、operator new和placement new。 new是通过调用operator new这个库函数来实现内存分配的。new申请内存失败的话,会抛出异常std::bad_alloc,且返回值不为0,当然也可以指定不抛异常的new。直接new一个对象,对象是否初始化,与定义一个同对象相似:new X;      //调用X的默认构造函数new X(x)    //调用X的构造函数用x来初始化。newint      //变量未被初始化
java的深度拷贝实现方式
u013623958的专栏
08-07 6796
拷贝&深度拷贝 1、对象的clone 2、
java常见的敏感异常
m0_67265464的博客
03-21 1383
1、java.io.FileNotFoundException:泄露文件系统结构和文件名列举 2、ava.util.jar.JarException:泄露文件系统结构 3、java.util.MissingResourceException:资源列举 4、java.security.acl.NotOwnerException:所有人列举 5、java.util.ConcurrentModificationException :可能提供线程不安全的代码信息 6、javax.naming.Insufficien
java 安全编码审计_java安全编码指南之:敏感拷贝
weixin_30423863的博客
02-25 77
简介一般来说class中如果包含了私有的或者敏感的数据的时候是不允许被拷贝的。如果一个class不想被拷贝,我们是不是不提供拷贝的方法就能保证class的安全了呢?一起来看看吧。一个简单的SensitiveObject假如我们有下面的一个SensitiveObject,它的作用就是存储一个password,并且提供了一个修改password的方法:public class SensitiveObj...
一定要定义拷贝构造函数,特别是在成员含有指针的情况(不论指针是何种型),安全!!!
lujiandong1的专栏
12-04 2781
举例说明一个未定义拷贝构造函数,产生的非常诡异的现象 using namespace std; class people  { private: char *name; int age; public: people(char *namestr,int i); /*people( const people& temp);*/ ~people(); char *getname(
java字符串安全拷贝
04-24
Java中的字符串是不可变的,因此在进行字符串的拷贝时需要特别注意安全问题。Java中提供了两种方法来实现字符串的安全拷贝。第一种方法是使用String的构造方法,例如:String str = new String("hello world"); 这种方法可以在堆上创建一个新的字符串对象,从而保证字符串的安全性。 第二种方法是使用System.arraycopy()方法,例如:char[] arr = str.toCharArray(); char[] newArr = new char[arr.length]; System.arraycopy(arr, 0, newArr, 0, arr.length); 这种方法是将原来的字符串字符数组进行拷贝,从而保证字符串的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值