java调用方法_Java安全编程(4)确保安全敏感的方法被调用时的参数合法性

最新推荐文章于 2023-06-27 15:58:50 发布
最新推荐文章于 2023-06-27 15:58:50 发布
阅读量116 收藏
点赞数
文章标签: java调用方法 xe8不能正常调用access 方法覆盖的访问权限 极光推送 请检查参数合法性 调用了 args[0] 但是不想输入参数怎么办

9718b609b59876589bf8c2678c89fb33.png

确保安全敏感的方法被调用时的参数合法性

应用中调用安全敏感的方法时必须要检查调用参数的合法性,特别需要注意的是,null 可能被某些安全敏感的方法认为是无害的输入,但是它在某些场景可能覆盖了缺失的安全设置。尽管安全敏感的方法本身就需要做防御性编程,但客户端输入的参数仍然需要检查,否则就有可能出现提权或者执行任意代码的问题。

不合规代码示例4.1

以下不合规代码展示了两个参数的doPrivileged() 方法,该方法 以访问控制上下文作为第二个参数。这段代码从上下文中核查预置的访问权限。 

AccessController.doPrivileged(
  new PrivilegedAction() {
    public Void run() {
      // ...
    }
  }, accessControlContext);

当把null作为访问控制上下文传入时,doPrivileged() 不能把当前权限限定在在那些由上下文预置的的权限范围之内。从而可能因为accessControlContext 传入值是 null而造成过度授权. 如果程序员出入某些特定考量真需要传Null值得安全控制上下文给 AccessController.doPrivileged() 方法,则应考虑使用显式的Null常量(比如NULL_ACCESS_CONTROL_CONTEXT) ,或者干脆使用重载的一个参数的f AccessController.doPrivileged().

合规代码示例4.1

以下合规代码确保不会因为传入参数accessControlContext 为null而产生过度授权。

if (accessControlContext == null) {
  throw new SecurityException("Missing AccessControlContext");
}
AccessController.doPrivileged(
  new PrivilegedAction() {
    public Void run() {
      // ...
    }
  }, accessControlContext);

感谢大家对我一直以来的关心和帮助,明天10月1日晚上20:00,我为大家在中央电视台准备了中秋晚会,不要问我花了多少钱,那不重要,大家开心就好,请各位安排好时间观看,不想看也可以早点睡觉,注意身体,祝大家中秋快乐!

c27e6fa511718ca4aac0bfe564d12134.png

微信扫一扫
关注该公众号

weixin_39943799
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java编程语言中的方法.docx
04-18
Java编程语言中的方法是程序设计的核心组成部分,它们允许代码的重用和模块化。方法(也称为函数)在Java中扮演着至关重要的角色,通过封装特定的逻辑或操作,使得程序更加整洁,易于理解和维护。 1. **方法的定义...
国密认证 - 密码模块安全技术要求
11-28
1. 密码模块规格 2. 密码模块接口 3. 角色、服务与鉴别 4. 软件/固件安全 5. 运行环境 6. 物理安全 7. 非入侵式安全 8. 敏感安全参数管理 9. 自测试 10. 生命周期保障 11. 对其它攻击的缓解
密码学中安全参数极简介绍
最新发布
shuizhongmose的专栏
06-27 2024
简要介绍安全参数的作用和选值。
SCP 和 SSP
q1009020096的博客
10-08 2808
敏感安全参数包括关键安全参数和公开安全参数。 关键安全参数(CSP) 公开安全参数(PSP) 摘自 《GM/T 0028-2014》 7.9.1
FIPS 140-3与140-2的差异-4
weixin_41158690的博客
01-27 702
FIPS-140-3的第7.8 - 7.11节,深入了解非侵入安全敏感安全参数(SSP)管理、自检和生命周期保证部分,并讨论与FIPS 140-2的异同点
密码模块安全等级 GM/T 0028
weixin_44479940的博客
12-28 7171
概述 密码模块是指实现密码运算、密钥管理等功能的硬件、软件、固件或其组合。GM/T 0028中提出了四个要求递增的安全等级以保护密码模块和密码模块中包含和控制的敏感安全参数。每一级安全等级都包含前一个等级的所有要求。 安全一级 模块应当使用至少一个核准的安全功能或核准的敏感安全参数建立方法,需要文档记录以针对非入侵式攻击或其他攻击,没有其他特殊的物理安全机制要求。 当模块外部的应用系统已经配置了物理安全、网络安全和管理过程等措施安全一级的模块非常经济适用。例如:个人计算机中的硬件加密板卡、运行在手持设备
jvm之AccessController.doPrivileged
顺其自然~专栏
11-18 296
​AccessController.doPrivileged在底层源码中会出现,本文对它进行一个简单介绍及如何使用的说明。 首先解释一下几个相关概念保护域类被装入jvm,为每个类指定一个保护域,保护域定义了授予一段特定代码的所有权限,一个保护域对应一个策略policy.txt文件的一个或者多个grant子句,被装入jvm的每一个类型仅属于一个保护域。 那么一个类型如何被指派到保护域呢? 类装载器知道自己装载的所有类和接口的代码库和签名者,它利用这些信息生成CodeSource(代码来源)对象,将Code
DemoUtil.zip_java常用工具方法
09-23
Java编程中,工具类(Util类)是程序员经常使用的一种设计模式,它封装了一些常见的、重复性的操作,以便在项目中复用,提高代码的可读性和维护性。"DemoUtil.zip"这个压缩包中包含了一个名为"DemoUtil.java"的...
primitive.rar_Java编程_Java_
08-09
Java编程领域,RMI(Remote Method Invocation,远程方法调用)是一种强大的技术,它允许一个Java对象在某个Java虚拟机(JVM)上执行另一个JVM中的对象的方法。"primitive.rar_Java编程_Java_"这个压缩包似乎包含...
liaotianshi.rar_Java编程_Java_
08-12
Java编程】与【Java】相关的知识主要集中在Java语言的基础语法、面向对象编程、网络编程以及GUI(图形用户界面)设计等方面。在这个“liaotianshi.rar”压缩包中,我们可以推断出它是一个基于Java的网络聊天室系统...
Scrabble3D.zip_Java编程_Java_
08-12
Scrabble3D.zip是一个与Java编程相关的压缩文件,它包含了一个名为"Scrabble3D"的项目,可能是为了展示或学习如何使用Java来实现三维拼字游戏Scrabble。在Java编程领域,开发这样的游戏涉及到多个核心知识点,包括...
AccessController类中的doPrivileged方法
alex
12-04 408
示例中需要在eclipse中创建2个project:ServiceCentre和TestService [code="java"]java.policy grant codeBase " file:/D:/Workspaces/ExchangeConnect_V2_Trunk_Maven_workspace/ServiceCentre/bin/* " { permissio...
java AccessController.doPrivileged使用
Code-lover's Learning Notes
12-15 1520
AccessController.doPrivileged意思是这个是特别的,不用做权限检查. 在什么地方会用到呢:加入1.jar中有类可以读取一个文件,现在我们要使用1.jar去做这个事情.但是我们的类本生是没有权限去读取那个文件的,一般情况下就是眼睁睁的看着了. 但是jiava提供了doPrivileged.在1.jar中如果读取文件的方法是通过doPrivileged来实现的.就不会有后面
用DPAPI保护你的数据
wabc的专栏
05-24 1297
用DPAPI保护你的数据我们已经知道,用Win32API函数EncryptFile和DecryptFile可以方便的加解密文件。但是,这两个函数与系统帐户联系过于紧密,能否解密完全看当前帐户是否有更高的权限,用户的数据实际上并没有得到真正的保护。下面将介绍一种更为灵活的数据保护方法。从Win2000开始,操作系统开始提供一个名为Data Protection API (DPAPI)的数据保
保护内存中的敏感数据
greystar的专栏
09-06 3004
感觉安全方面很重要啊.看到好文章,大家分享一下了. 某些候,我们需要在内存中保存一些非常敏感的数据,比如信用卡账号密码、软件注册码等等。那么危险随之而来,使用一些高级软件调试工具查看进程的内存数据,居心不良的人就会有机会拿到这些本该严格保密的数据。Microsoft Windows 2000 SP4 以上版本的操作系统提供了用于数据保护的 API —— DPAPI,我们可以使用 .NET
代码安全/权限控制/敏感数据规范多多 - 第395篇
悟纤学院
11-03 6307
相关历史文章(阅读本文前,您可能需要先看下之前的系列????) 国内最全的SpringBoot系列之四 享元模式:共享女友-第355篇 助你写出更优雅的代码,让你的领导对你爱不释手 - 370篇 你是研发部门的领导,你还不知道如何制定程序中的规则吗?- 第378篇 OOP规范,居然还有这么多我不知道?- 第382篇 隶属于用户个人的页面或者功能必须进行权限控制校验。 用户敏感数据禁止直接展示,必须对展示数据进行脱敏。 用户请求传入的任...
Mimikatz之DPAPI学习与实践
梦想专栏
04-15 1751
0x00 前言 ​ 本文就讲解下Windows下的DPAPI,并且利用mimikatz来解密那些由DPAPI加密的文件。本文使用mimikatz版本2.1.1-20180820,Chrome 版本68.0.3440.106 (Official Build) (64-bit)。 0x01 什么是DPAPI ​ DPAPI 英文全称:Data Protection API ,顾名思义就是用...
您的 Java 代码安全吗?
Herr Apfel的专栏
06-10 1349
  虽然客户仍然很关心您为他们构建的应用程序的可伸缩性和可用性,但他们可能变得也很关心安全性,而且要求特别严格。应用程序可能容易受到两类安全性威胁的攻击:静态和动态。虽然开发人员不能完全控制动态威胁,但在开发应用程序,您可以采取一些预防措施来消除静态威胁。本文概括并解释了 13 种类型的静态暴露 ― 它们是系统中的缺陷,它使系统暴露在想要篡夺该系统的特权的攻击者面前。您将学会如何处理这些暴露,以
Java泛型与反射实战:方法、构造器与类型安全
"Java泛型和反射是Java编程中重要的两个特性。泛型引入于JDK 1.5,主要用于提升代码的类型安全性和可读性,减少强制类型转换,同在编译阶段进行类型检查。反射则允许我们在运行动态地获取类的信息并操作类的对象...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值