java安全(三)RMI

已于 2022-08-06 06:24:15 修改
阅读量5.3k 收藏
点赞数
分类专栏: Java安全 文章标签: java web安全 安全
于 2022-03-22 11:24:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45694388/article/details/123361411
版权

给个关注?宝儿!
给个关注?宝儿!
给个关注?宝儿!

在这里插入图片描述

1.RMI 是什么

RMI(Remote Method Invocation)即Java远程方法调用,RMI用于构建分布式应用程序,RMI实现了Java程序之间跨JVM的远程通信。
在这里插入图片描述RMI底层通讯采用了Stub(运行在客户端)和Skeleton(运行在服务端)机制,RMI调用远程方法的大致如下:

1.RMI客户端在调用远程方法时会先创建2.Stub(sun.rmi.registry.RegistryImpl_Stub)。
Stub会将Remote对象传递给远程引用层(java.rmi.server.RemoteRef)并创建java.rmi.server.RemoteCall(远程调用)对象。
3.RemoteCall序列化RMI服务名称、Remote对象。
4.RMI客户端的远程引用层传输RemoteCall序列化后的请求信息通过Socket连接的方式传输到RMI服务端的远程引用层。
5.RMI服务端的远程引用层(sun.rmi.server.UnicastServerRef)收到请求会请求传递给6.Skeleton(sun.rmi.registry.RegistryImpl_Skel#dispatch)。
7.Skeleton调用RemoteCall反序列化RMI客户端传过来的序列化。
Skeleton处理客户端请求:bind、list、lookup、rebind、unbind,如果是lookup则查找RMI服务名绑定的接口对象,序列化该对象并通过RemoteCall传输到客户端。
8.RMI客户端反序列化服务端结果,获取远程对象的引用。
9.RMI客户端调用远程方法,RMI服务端反射调用RMI服务实现类的对应方法并序列化执行结果返回给客户端。
10.RMI客户端反序列化RMI远程方法调用结果。
Back

2.RMI远程方法调用测试

第一步我们需要先启动RMI服务端,并注册服务。

RMI服务端注册服务代码:

package com.anbai.sec.rmi;

import java.rmi.Naming;
import java.rmi.registry.LocateRegistry;

public class RMIServerTest {
   

   // RMI服务器IP地址
   public static final String RMI_HOST = "127.0.0.1";

   // RMI服务端口
   public static final int RMI_PORT = 9527;

   // RMI服务名称
   public static final String RMI_NAME = "rmi://" + RMI_HOST + ":" + RMI_PORT + "/test";

   public static void main(String[] args) {
   
      try {
   
         // 注册RMI端口
         LocateRegistry.createRegistry(RMI_PORT);

         // 绑定Remote对象
         Naming.bind(RMI_NAME, new RMITestImpl());

         System.out.println("RMI服务启动成功,服务地址:" + RMI_NAME);
      } catch (Exception e) {
   
         e.printStackTrace();
      }
   }

}

程序运行结果:

copyRMI服务启动成功,服务地址:rmi://127.0.0.1:9527/test

Naming.bind(RMI_NAME, new RMITestImpl())绑定的是服务端的一个类实例,RMI客户端需要有这个实例的接口代码(RMITestInterface.java),RMI客户端调用服务器端的RMI服务时会返回这个服务所绑定的对象引用,RMI客户端可以通过该引用对象调用远程的服务实现类的方法并获取方法执行结果。

RMITestInterface示例代码:

package com.anbai.sec.rmi;

import java.rmi.Remote;
import java.rmi.RemoteException;

/**
 * RMI测试接口
 */
public interface RMITestInterface extends Remote {
   

   /**
    * RMI测试方法
    *
    * @return 返回测试字符串
    */
   String test() throws RemoteException;

}

这个区别于普通的接口调用,这个接口在RMI客户端中没有实现代码,接口的实现代码在RMI服务端。

服务端RMITestInterface实现代码示例代码:

package com.anbai.sec.rmi;

import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;

public class RMITestImpl extends UnicastRemoteObject implements RMITestInterface {
   

   private static final long serialVersionUID = 1L;

   protected RMITestImpl() throws RemoteException {
   
      super();
   }

   /**
    * RMI测试方法
    *
    * @return 返回测试字符串
    */
   @Override
   public String test() throws RemoteException {
   
      return "Hello RMI~";
   }

}

RMI客户端示例代码:

package com.anbai.sec.rmi;

import java.rmi.Naming;

import static com.anbai.sec.rmi.RMIServerTest.RMI_NAME;

public class RMIClientTest {
   

   public static void main(String[] args) {
   
      try {
   
         // 查找远程RMI服务
         RMITestInterface rt = (RMITestInterface) Naming.lookup(RMI_NAME);

         // 调用远程接口RMITestInterface类的test方法
         String result = rt.test();

         // 输出RMI方法调用结果
         System.out.
最低0.47元/天 解锁文章
b1gpig安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jrmp协议_Java远程方法调用RMI利用分析
weixin_28358083的博客
12-24 591
前提了解JNDIJNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,由管理者将JNDI API映射为特定的命名服务和目录系统,使得Java应用程序可以和这些命名服务和目录服务之间进行交互。JRMPJav...
Java 调用rmi_Java RMI调用远程程序抛出异常
weixin_31487521的博客
02-21 423
展开全部背景要求:定时监e69da5e887aa3231313335323631343130323136353331333361303561控远程主机上mongodb数据库内存使用的情况,当内存使用过大时暂停逻辑处理线程后启动内存空间的释放处理线程,释放完成后再启动逻辑处理线程。操作系统:CentOS 64bit (Linux)步骤(代码省略):1.创建Socket远程服务器2.创建客户端配置:#...
java: 程序包sun.rmi.runtime不存在
02-22 5036
拉取项目并导入maven没问题后启动项目时报错:java: 程序包sun.rmi.runtime不存在 打开projectstructure,看看你使用的jdk版本是不是与项目的jdk版本一致
RMI-JAVA-:远程方法调用的加密安全
05-16
RMI-JAVA- 远程方法调用的加密安全
Java显示程序包不存在?有种解决方法!
最新发布
爱编程的鱼的博客
04-21 8472
Java编程过程中,经常会遇到“程序包不存在”的错误消息。这通常是由于编译器无法找到所需的类或库而引起的。幸运的是,这个问题有多种解决方法。在本文中,我们将介绍种常见的解决方法,并通过具体的实例来分析如何应对这个错误。
sun.rmi.registry.RegistryImpl_Stub RMIC
peijunlin2008
03-12 1504
报错信息: [code="java"] java.net.ConnectException: Connection refused: connect at sun.rmi.transport.tcp.TCPEndpoint.newSocket(TCPEndpoint.java:574) at sun.rmi.transport.tcp.TCPChannel.createConnecti...
Java代码审计——fastjson 1.2.68 反序列化漏洞 FileOutputStream写文件
王嘟嘟的博客
03-25 7548
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 看了这个poc之后,就一直纠结,为啥只有openjdk >= 11才可以用,最后在调试+看了大部分文章之后才终于明白 0x01 环境 这里需要准备两个jdk,一个 1.8 一个11 0x02 环境约束 首先先来看一下Fastjson的构造参数选择: 通过createJavaBeanDeserializer进来 走到JavaBeanInfo.build 这里判断如果不
Java RMI 详解
chenshun123的博客
03-11 3028
Java RMI 用于不同虚拟机之间的通信,这些虚拟机可以在不同的主机上也可以在同一个主机上。一个虚拟机中的对象调用另一个虚拟上中的对象的方法,只不过是允许被远程调用的对象要通过一些标志加以标识。这样做的特点如下 :优点 : 避免重复造轮子缺点 : 调用过程很慢,而且该过程是不可靠的,容易发生不可预料的错误,比如网络错误等在 RMI 中的核心是远程对象 (remote object),除了对象本身...
java_rmi.rar_RMI java_java.rmi
09-19
- **安全性**:RMI可以通过SSL/TLS加密通信,并且可以使用Java安全管理器来控制访问权限。 - **动态导出和导入**:服务器可以在运行时动态地导出或导入远程对象,提供更大的灵活性。 学习和理解Java RMI对于开发...
RMI.zip_Java RMI_rmi
09-23
Java Remote Method Invocation (RMI) 是Java平台中用于构建分布式应用程序的一种关键技术。它允许Java对象在不同的Java虚拟机(JVM)之间进行交互,仿佛它们都在同一个JVM内运行。RMI使得开发人员能够构建可扩展的、...
java-rmi.zip_RMI java_rmi
09-14
7. **安全性**:RMI支持基于Java安全模型的安全策略。通过设置权限、签名和证书,可以限制远程对象的访问权限。 8. **并发和线程**:由于RMI调用可能在不同的线程中执行,因此开发者需要考虑线程安全问题,特别是在...
RMI.rar_Java RMI
09-24
Java Remote Method Invocation (RMI) 是Java平台中用于构建分布式应用程序的一种关键技术。RMI允许Java对象在不同的Java虚拟机(JVM)之间进行远程调用,使得开发者可以创建跨越网络的分布式系统,就像操作本地对象...
rmi.rar_RMI java_basic rmi
09-24
默认情况下,RMI使用Java安全模型进行保护。可以通过调整策略文件来控制对远程对象的访问权限。 7. **RMI的局限性** - 性能:由于涉及网络通信,相比本地调用,RMI会带来一定的性能开销。 - 错误处理:RMI调用...
java visualvm监控jetty_java visualvm监控远程服务
weixin_36272668的博客
02-13 347
1、首先确保hostname绑定的不是localhost或者127.0.0.1、0.0.0.0,否则报Could not bind /JStatRemoteHost to RMI Registry2、然后找到远程机器java的jre的bin目录,添加文件jstatd.all.policy,内容是grant codebase "file:${java.home}/../lib/tools.jar" ...
解决报错:错误: 代理抛出异常错误: java.rmi.server.ExportException: Port already in use: 1099
qq_44371305的博客
09-13 5437
昨天正常运行的Spring项目,今天一早再次运行时发生报错: 错误: 代理抛出异常错误: java.rmi.server.ExportException: Port already in use: 1099; nested exception is: java.net.BindException: Address already in use: JVM_Bind sun.management.AgentConfigurationError: java.rmi.server.ExportException
java远程调用(rmi)常见的两个错误
孙悟空空的专栏
05-23 9406
javarmi远程调用给分布式编程带来极大的方便,在使用rmi过程中eclipse开发平台会提示一些错误,可能是因为遗漏了需要注意的地方。
远程访问JMX遇到连接不上的问题(JConsole和VisualVM工具类似)
can_do_it的专栏
09-30 3408
java.rmi.ConnectException: Connection refused to host: 10.88.112.165; nested exception is: java.net.ConnectException: Connection timed out: connect at sun.rmi.transport.tcp.TCPEndpoint.newSocket(T...
RMI 各参数意义sun.rmi Properties
cknn58096414的博客
12-30 419
sun.rmi PropertiesWARNING: The properties described here are not supported, can change at any time, and only exist...
java分布式对象(RMI+部署使用RMI的程序)
PacosonSWJTU的博客
02-20 4955
【0】README1)本文文字转自 core java volume 2, 旨在学习 java 分布式对象的相关知识; 2) RMI 的实例程序为原创; 3) RMI部署步骤的测试用例,参见 http://blog.csdn.net/pacosonswjtu/article/details/50705258【1】知识背景1)每过一段时间, 程序员社区就开始考虑“无所不在的对象”作为所有问题的解决
java-rmi 漏洞
07-14
### 回答1: Java RMI(远程方法调用)是一种用于在分布式系统中进行远程通信的Java API。虽然它提供了方便的远程方法调用功能,但也存在一些安全漏洞。 其中一个漏洞是未经授权的远程方法调用(Unauthorized Remote Method Invocation)。在Java RMI中,远程对象可以通过URL公开,并接受来自任何Java虚拟机的调用。如果没有正确的安全措施,攻击者可以利用这个漏洞,通过发送恶意请求来执行未经授权的远程方法调用。这可能导致敏感数据泄露、服务拒绝、远程代码执行等安全风险。 另一个漏洞是远程代码执行(Remote Code Execution)。由于Java RMI允许将类作为参数传递给远程方法调用,攻击者可以通过构建恶意类来在远程系统中执行任意代码。这可能会导致远程系统被完全控制,从而对系统进行非法操作、运行恶意软件等。 为了防止这些漏洞,应采取以下安全措施: 1.授权策略:通过使用Java RMI安全管理器,对远程调用进行授权验证。只允许受信任的主机或用户执行远程方法调用。 2.数据验证:在接受远程方法调用之前,对传入的数据进行验证和过滤,以防止恶意输入。 3.安全传输层:使用安全通信协议(如SSL/TLS)对Java RMI进行加密,以保护数据在网络传输过程中的安全性。 4.类过滤:限制远程对象所需的类只能从特定的类路径加载,以防止远程代码执行。 总之,Java RMI漏洞存在一定的风险,但通过使用适当的安全措施可以有效地减少这些风险。 ### 回答2: Java RMI (Remote Method Invocation)是Java中用于远程调用方法的技术,它允许在不同主机上的Java虚拟机之间进行通信和交互。然而,Java RMI中存在一些漏洞,可能导致安全问题。下面是一些常见的Java RMI漏洞: 1. 未授权访问:在没有适当访问控制的情况下,攻击者可能能够直接访问Java RMI服务,获取敏感信息或执行恶意操作。 2. 服务猝死:如果不正确地实现了Java RMI服务,攻击者可能通过发送恶意请求来导致服务崩溃或拒绝服务,导致系统不可用。 3. 反序列化漏洞:由于Java RMI使用Java序列化来传输对象,因此未进行适当的反序列化验证可能导致反序列化漏洞,攻击者可以利用此漏洞在目标系统上执行任意代码。 4. 中间人攻击:由于Java RMI缺乏加密机制,攻击者可能能够拦截和篡改Java RMI通信,以获取敏感信息或篡改数据。 为了解决这些漏洞,可以采取以下措施: 1. 实施访问控制:确保只有经过授权的用户能够访问Java RMI服务,并且只有必要的方法和数据暴露给客户端。 2. 安全配置:在构建Java RMI服务时,应遵循安全最佳实践,确保已正确配置安全管理器和策略文件,以限制服务的操作和访问范围。 3. 验证和过滤输入:在处理Java RMI请求时,始终进行输入验证和过滤,以防止恶意输入和攻击。 4. 反序列化信任:避免直接反序列化不受信任的数据,可以使用白名单或其他验证机制来限制反序列化操作。 5. 加密通信:考虑使用安全的通信协议(如SSL/TLS)来保护Java RMI通信的机密性和完整性,以防止中间人攻击。 总之,了解Java RMI漏洞并采取适当的防护措施是确保Java RMI应用程序安全的重要步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

b1gpig安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值