如何在Java中安全运行用户的groovy代码

于 2024-02-28 15:04:10 发布
阅读量149 收藏
点赞数
文章标签: java 安全 python
原文链接:https://www.ctyun.cn/developer/article/440153744314437
版权

在Java中安全运行用户的groovy代码,会遇到很多挑战

1,如何在Java中运行groovy代码

pom.xml中加入依赖

<dependency>
    <groupId>org.apache.groovy</groupId>
    <artifactId>groovy</artifactId>
    <version>4.0.8</version>
</dependency>

Java代码中常用的运行groovy方法有

// 执行代码字符串
GroovyShell groovyShell = new GroovyShell();
groovyShell.evaluate("println 'Hello World!'");

// 执行groovy文件
GroovyShell groovyShell = new GroovyShell();
groovyShell.evaluate(new File("/path/to/groovy/test.groovy"));

// 先解析groovy文件,再运行其中的方法
GroovyShell groovyShell = new GroovyShell();
Script script = groovyShell.parse(new File("/path/to/groovy/test.groovy"));
Object[] args = {};
script.invokeMethod("run", args);

除了GroovyShell,groovy官方还提供了GroovyClassLoader和GroovyScriptEngine等其他执行groovy代码的入口

2,会有哪些危险的代码

因为groovy的强大,使得groovy可以非常方便地调用java的类和操作系统命令

// 1,直接退出Java进程
java.lang.System.exit(0);

// 2,执行Shell命令
java.lang.Runtime.getRuntime().exec("whoami");

// 3,调用java.io.File相关方法操作系统文件
def list = new java.io.File("/").list();
println list

// 4,直接调用shell命令
def cmd = "whoami"
println cmd.execute().text

// 5,使用AST来执行shell命令
@groovy.transform.ASTTest(value={
   assert java.lang.Runtime.getRuntime().exec("whoami")
})
def x

// 6,无限循环
while(true) {
  println "xxx"
}

// 7,长时间sleep
sleep 100000

// 8,申请大块内存空间
def b = new byte[1024*1024*1024]
println b.length

由于本人使用groovy时间尚短,不确定以上代码没有枚举完所有类型的危险代码.如果有groovy大佬发现其他类型的危险代码,欢迎在评论区留言

为了避免执行以上的危险代码,必须给强大的groovy来一次能力阉割

3,groovy自定义安全配置

groovy官方提供了自定义的安全配置功能,来限制groovy的能力

3.1,SecureASTCustomizer

GroovyShell在执行groovy代码前,会先将groovy代码编译成java class,然后在JVM中执行.

而groovy官方提供的SecureASTCustomizer可以在编译阶段对危险代码进行一次过滤,利用SecureASTCustomizer,我们可以

  • 指定import的黑名单或白名单(二者只能选其一),支持星号(如 groovy.json.*)
  • 语法关键词的黑名单或白名单(二者只能选其一)
  • 其他语法开关,如是否允许闭包,是否允许定义方法等

因为很难枚举出所有有危险的java类,用户可以利用依赖引用来绕过import黑名单,所以使用import黑名单是不够安全的,例如我们禁止用户import java.io.File,但用户还是可以import其他类来间接操作系统文件

所以,利用SecureASTCustomizer的import白名单功能,并细心甄别可开放的java包,我们基本上可以避免执行第3种危险代码

private GroovyShell getShell() {
    final SecureASTCustomizer secure = new SecureASTCustomizer();// 创建SecureASTCustomizer
		secure.setClosuresAllowed(true);// 允许使用闭包
		List<Integer> tokensBlacklist = new ArrayList<>();
		tokensBlacklist.add(Types.KEYWORD_WHILE);// 添加关键字黑名单 while和goto
		tokensBlacklist.add(Types.KEYWORD_GOTO);
		secure.setDisallowedTokens(tokensBlacklist);
		secure.setIndirectImportCheckEnabled(false);// 设置为false, 可以在代码中定义并直接使用class, 否则需要在白名单中指定
		secure.setAllowedStarImports(Arrays.asList("org.codehaus.groovy.runtime.*", "groovy.json.*"));

		final CompilerConfiguration config = new CompilerConfiguration();// 自定义CompilerConfiguration,设置AST
		
    config.addCompilationCustomizers(secure);
		GroovyShell shell = new GroovyShell(config);
    return shell;
}

注意,使用了import白名单后,需要设置setIndirectImportCheckEnabled(false),否则在groovy中定义的class也要加入到白名单中才能使用

由于groovy会自动引入java.util,java.lang包,所以import白名单并不能阻止用户调用System.exit()方法

3.2,GroovyInterceptor

jenkins中使用了GroovyInterceptor拦截器来限制groovy的能力,我们也可以将groovy沙箱引入自己的项目中

<dependency>
   <groupId>org.craftercms</groupId>
   <artifactId>groovy-sandbox</artifactId>
    <version>4.0.2</version>
</dependency>

GroovyInterceptor拦截器作用于运行阶段,为我们提供了多个介入代码运行的时机

static class GroovyNotSupportInterceptor extends GroovyInterceptor {

		private final List<String> defaultMethodBlacklist = Arrays.asList("getClass", "class", "wait", "notify",
				"notifyAll", "invokeMethod", "finalize", "execute");
		
		/**
		 * 静态方法拦截
		 */
		@Override
		public Object onStaticCall(GroovyInterceptor.Invoker invoker, @SuppressWarnings("rawtypes") Class receiver,
				String method, Object... args) throws Throwable {
			System.out.println("onStaticCall: " + method);
			if (receiver == System.class && "exit".equals(method)) {
				// System.exit(0)
				throw new SecurityException("Don't call on System.exit() please");
			} else if (receiver == Runtime.class) {
				// 通过Java的Runtime.getRuntime().exec()方法执行shell, 操作服务器…
				throw new SecurityException("Don't call on RunTime please");
			} else if (receiver == Class.class && "forName".equals(method)) {
				// Class.forName
				throw new SecurityException("Don't call on Class.forName please");
			}
			return super.onStaticCall(invoker, receiver, method, args);
		}

		/**
		 * 普通方法拦截
		 */
		@Override
		public Object onMethodCall(GroovyInterceptor.Invoker invoker, Object receiver, String method, Object... args)
				throws Throwable {
			System.out.println("onMethodCall: " + method);
			if (defaultMethodBlacklist.contains(method)) {
				// 方法列表黑名单
				throw new SecurityException("Not support method: " + method);
			}
			return super.onMethodCall(invoker, receiver, method, args);
		}
}
// 执行前在当前线程注册方法拦截
new GroovyNotSupportInterceptor().register();
GroovyShell shell = getShell();
shell.evaluate(script)

通过GroovyInterceptor拦截器和SecureASTCustomizer,我们基本上可以避免执行前4种危险代码了

3.3,禁用AST转换

groovy的AST转换发生在编译阶段之前,所以以上方法都无法阻止,目前没找到比较好的方法

只能使用最笨的方法,执行代码前用正则搜索全文,只要在引号或双引号外面发现符号,则拒绝执行

3.4,自定义超时控制

思路是利用GroovyInterceptor,在每个拦截点判断当前是否超时,超时则中断执行

至于代码中的 sleep 10000000,思路也是利用GroovyInterceptor拦截sleep方法,当sleep方法入参大于5000毫秒时,将入参重置为5000

至此,前7种危险代码基本上能有效避免了

4,groovy线程的内存控制

控制groovy代码占用的内存,最有效的方案是将groovy代码放到容器中执行

其他方案不能准确控制线程的内存

delight的narshon沙箱使用了ThreadMXBean.getThreadAllocatedBytes(线程ID)方法来监控线程已分配的内存大小,当这个值超过预设值时,则会中断执行

但这个方法是返回指定线程自启动以来在堆上分配的内存总量,这个值只会增大不会减小(即使线程创建的对象已经被回收).实际上也没有方法能获取指定线程占用堆的内存总量,因为堆内存是线程共享的

总结,在Java中运行用户的groovy代码,最完美的方案就是放到容器中执行,也就是Faas方案,这样的话不需要限制groovy的能力,也可以限制其占用的CPU和内存资源.

如果采用非Faas方案,本文基于groovy官方的SecureASTCustomizer和jenkins的GroovyInterceptor给出了能有效避免大部分危险代码的方案,如果您有其他建议,欢迎评论区留言.

yczz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
高版本jdk适应groovy的jar包.zip
05-22
csdn这样自己涨积分真麻烦,居然要50积分,我自己都下不起了好么,,调整为5个积分 ---------------2020-11-13----------- jdk版本高于9时,groovy无法正常使用,需要将此jar包加入项目,即可正常打开.
Java调用groovygroovy如何使用springBean
很多时候犯错都是在不知情的情况下发生的
11-28 1840
一、概述 Groovy is a multi-faceted language for the Java platform. Apache Groovy是一种强大的、可选的类型化和动态语言,具有静态类型和静态编译功能,用于Java平台,目的在于通过简洁、熟悉和易于学习的语法提高开发人员的工作效率。它可以与任何Java程序顺利集成,并立即向您的应用程序提供强大的功能,包括脚本编写功能、特定于域的语言编写、运行时和编译时元编程以及函数式编程。 Groovy是基于java虚拟机的,执行文件可以是简单的脚本片
基于JAVA+GROOVY敏捷开发(一)
qq_36988277的博客
05-10 1388
因为之前在项目使用了Groovy对业务能力进行一些扩展,效果比较好,所以简单记录分享一下,这里你可以了解:
Java运行动态脚本Groovy
dhfzhishi的专栏
12-03 7968
这里主要总结Java集成Groovy的应用。 Groovy可以与Java完美集成来扩展我们的应用,比如替代Java+jexl实现算式表达式计算或其它功能。在Ofbiz也集成了Groovy来执行一些查询功能,并且是开始更多的使用Groovy而不是原有的bsh。这里仅仅初步总结我们在Java项目如何来应用Groovy扩展我们的应用。 1.使用GroovyShell计算表达式 使用B
Groovy安全高效的执行(死循环,休眠,危险方法)
believer123的专栏
12-26 3014
在很多场景下有需要执行异步任务,或者执行用户的自定义任务时,通常我们会使用Groovy脚本能力来完成任务。通过groovy动态脚本能力,在业务执行过程动态执行不同业务线或者用户的脚本,来满足不同需求。这样可以非常方便的进行业务拓展,但是也会带来一系列安全问题,1 比如在脚本调用了系统危险的方法,如System.exit 会导致整个服务停止2 触发了死循环等场景,会导致任务卡死,使用多线程的话线程也很块就被占完。3 使用Thread.sleep 将线程进行休眠。
java整合Groovy的四种方式
qq_33513250的博客
11-22 7475
目录 一、概述 二、pom文件 三、ScriptEngineManager 四、GroovyShell 五、GroovyClassLoader 六、GroovyScriptEngine 七、SecureASTCustomizer 八、SandboxTransformer 九、DSL(Json转换) 一、概述 Groovy is a multi-faceted language...
导购场景下的Groovy脚本引擎实战
qq_36212439的博客
10-09 1468
因为在项目使用了Groovy对业务能力进行一些扩展,效果比较好,所以记录分享一下,这里你可以了解:为什么使用脚本语言为什么选择Groovy如何在项目集成GroovyGroovy的原理是什么和性能优化实际使用的一些建议Groovy是构建在JVM上的一个轻量级却强大的动态语言, 它结合了Python、Ruby和Smalltalk的许多强大的特性.
复杂多变场景下的Groovy脚本引擎实战
很多时候犯错都是在不知情的情况下发生的
11-27 926
一、前言 因为之前在项目使用了Groovy对业务能力进行一些扩展,效果比较好,所以简单记录分享一下,这里你可以了解: 为什么选用Groovy作为脚本引擎 了解Groovy的基本原理和Java如何集成Groovy 在项目使用脚本引擎时做的安全和性能优化 实际使用的一些建议 二、为什么使用脚本语言 2.1 脚本语言可解决的问题 互联网时代随着业务的飞速发展,不仅产品迭代、更新的速度越来越快,个性化需求也是越来越多,如:多维度(条件)的查询、业务流转规则等。办法通
groovyshell java if_java - 嵌入JavaGroovyShell-在具有白名单的静态编译脚本使用POJO - 堆栈内存溢出...
weixin_42365065的博客
02-23 274
基本上,我有一个GUI,允许用户编写和执行Groovy脚本。 GroovyShell通过SecureASTCustomizer编译器配置进行保护。 我有一个类,比如说RandomClass ,我希望用户能够通过变量helper进行访问。 该代码必须是静态编译的,因此我们可以在尝试执行之前检查脚本的有效性。 但是, 在此阶段 ,我只关心编译脚本 。 计划是检查脚本是否有效,例如helper...
java jsonobject_Java调用groovy及如何使用springBean
weixin_39568083的博客
11-28 115
一、概述Groovy is a multi-faceted language for the Java platform.Apache Groovy是一种强大的、可选的类型化和动态语言,具有静态类型和静态编译功能,用于Java平台,目的在于通过简洁、熟悉和易于学习的语法提高开发人员的工作效率。它可以与任何Java程序顺利集成,并立即向您的应用程序提供强大的功能,包括脚本编写功能、特定于域的语言编写...
java调用groovygroovy如何使用springBean
feiqinbushizheng的博客
09-14 3914
一、概述 Groovy is a multi-faceted language for the Java platform. Apache Groovy是一种强大的、可选的类型化和动态语言,具有静态类型和静态编译功能,用于Java平台,目的在于通过简洁、熟悉和易于学习的语法提高开发人员的工作效率。它可以与任何Java程序顺利集成,并立即向您的应用程序提供强大的功能,包括脚本编写功能、特定于域的语言编写、运行时和编译时元编程以及函数式编程。 Groovy是基于java虚拟机的,执行文件可以是简单的脚本片段,也
java在嵌入运行groovy代码1
08-08
}二. GroovyClassLoader代码示例 1) 解析groovy文件 /** * from source file of *.groovy */
Java使用Groovy的三种方式
06-11
Java使用Groovy的三种方式,详细见我的博客。
groovy-sandbox:(不建议使用)编译时转换器以在限制性沙箱运行Groovy代码
05-03
该库提供了一个编译时转换器,可以在执行之前拦截大多数操作(例如方法调用)的环境运行Groovy代码。 库的使用者可以参与拦截,以允许或拒绝特定操作。 当单独使用该库时,它是不安全的。 特别是,您必须至少沿着...
Android Studio 运行 groovy 程序的方法图文详解
01-03
由于其运行在 JVM 上的特性,Groovy也可以使用其他非Java语言编写的库。 Groovy 是 用于Java虚拟机的一种敏捷的动态语言,它是一种成熟的面向对象编程语言,既可以用于面向对象编程,又可以用作纯粹的脚本语言。使用...
hugo110-java_run_groovy-master_java_
10-03
java运行groovy 环境,搭建方便自己练习groovy使用 与后续定时调度动态代码做准备
groovy实现java动态编译_Java 运行时动态编译 Groovy 代码实例
weixin_30460749的博客
03-04 437
使用Groovy编程的最大的特点是:在jvn运行时,动态的编译Groovy代码。下面我们通过一个简单的实例验证这个奇特的功能。代码如下:import groovy.lang.GroovyShell;import groovy.lang.Script;/*** @author liuhongbo**/public class TestGroovyShell {public static void t...
刨根问底:Java动态运行Groovy可能有哪些坑
Hopefully Sky的博客
07-13 4866
Groovy代码能够与Java代码很好地结合,也能用于扩展现有代码。相对于Java,它在编写代码的灵活性上有非常明显的提升。Groovy是动态编译语言,广泛用作脚本语言和快速原型语言,主要优势之一就是它的生产力。Groovy代码通常要比Java代码更容易编写,而且编写起来也更快,这使得它有足够的资格成为开发工作包的一个附件。...
Java的grovvy代码是否可以在安卓运行
最新发布
06-10
但需要注意的是,在Android平台上运行Groovy代码需要使用特定的库和工具,例如Groovy-Android-Gradle插件和Android Studio等。此外,由于在Android平台上运行Groovy代码可能会影响应用程序的性能和稳定性,因此需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值