保护Java应用程序不被窃取数据和源代码1

保护Java应用程序不被窃取数据和源代码1    

      在这篇文章中,我们回顾了如何在JVM中注入恶意软件代码/嗅探JVM的流量/等可能的方法。这篇文章的主要目的是解释如何保护你的应用程序。计划是进行下一步的攻击。

从Dump中读取敏感数据。
通过在外部依赖中注入恶意软件来窃取源代码。

从Java Dump中窃取数据,  如果有人获得了对Java进程的访问权,他可能会读取敏感信息,如密码或数据库地址。让我们来看看下一个数据源的配置:

@Bean
public DataSource dataSource(){
   MysqlDataSource mysqlDataSource = new MysqlDataSource();
   mysqlDataSource.setUrl("jdbc:oracle:thin:@localhost:1521:xe");
   mysqlDataSource.setUser("mySqlUser");
   mysqlDataSource.setPassword("secretPassword");
   return mysqlDataSource;
}

现在,如果黑客攻击我们的服务器并获得了对JVM进程的访问权,那么他可以通过使用jcmd程序来Dump JVM的内存。比如:

jcmd 20932 GC.heap_dump d:\dump\JVM_DUMP.bin

当他得到JVM的Dump时,他可以用VisualVM剖析器用QOL语言来查询它。

保护Java应用程序不被窃取数据和源代码1

例如,为了获取所有以 "JDBC "开头的字符串,他可以进行下一步查询:

select s from java.lang.String s where s.toString().startsWith("jdbc")

或者作为一种选择,他可以获取MysqlDataSource对象

select filter(heap.classes(), "/com.mysql.cj.jdbc.MysqlDataSource/.test(it.name)")

在下一个图片中,我将展示我们如何进行转储并从DataSource中找到潜在的敏感数据:

保护Java应用程序不被窃取数据和源代码1

如何防止从Dump中读取数据?


为了防止这个攻击需要这么做:

在JVM启动时添加参数-XX:+DisableAttachMechanism。
在Linux中通过禁用trace syscall来禁用jcmd调用(如果你使用ubuntu)
对于非root用户,通过设置hidepid=1来禁止对进程的访问
在Java端对数据进行加密



今天先到这儿,希望对云原生,技术领导力, 企业管理,系统架构设计与评估,团队管理, 项目管理, 产品管管,团队建设 有参考作用 , 您可能感兴趣的文章:
*怎样带领好团队
构建创业公司突击小团队
国际化环境下系统架构演化
微服务架构设计
视频直播平台的系统架构演化
微服务与Docker介绍
Docker与CI持续集成/CD
互联网电商购物车架构演变案例
互联网业务场景下消息队列架构
互联网高效研发团队管理演进之一
消息系统架构设计演进
互联网电商搜索架构演化之一
企业信息化与软件工程的迷思
企业项目化管理介绍
软件项目成功之要素
人际沟通风格介绍一
精益IT组织与分享式领导
学习型组织与企业
企业创新文化与等级观念
组织目标与个人目标
初创公司人才招聘与管理
人才公司环境与企业文化
企业文化、团队文化与知识共享
高效能的团队建设
项目管理沟通计划
构建高效的研发与自动化运维
某大型电商云平台实践
互联网数据库架构设计思路
IT基础架构规划方案一(网络系统规划)
餐饮行业解决方案之客户分析流程
餐饮行业解决方案之采购战略制定与实施流程
餐饮行业解决方案之业务设计流程
供应链需求调研CheckList
企业应用之性能实时度量系统演变

如有想了解更多软件设计与架构, 系统IT,企业信息化, 团队管理 资讯,请关注我的微信订阅号:

保护Java应用程序不被窃取数据和源代码1

作者:Petter Liu
出处:http://www.cnblogs.com/wintersun/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。 该文章也同时发布在我的独立博客中-Petter Liu Blog。

上一篇:利用dotnet-dump分析docker容器内存泄露


下一篇:STM32F103 MQTT智能配网ESP07S WIFI 手机app控制继电器EMQ温湿度