《Java编码指南:编写安全可靠程序的75条建议》—— 指南17:最小化特权代码

本节书摘来异步社区《Java编码指南:编写安全可靠程序的75条建议》一书中的第1章,第1.17节,作者:【美】Fred Long(弗雷德•朗), Dhruv Mohindra(德鲁•莫欣达), Robert C.Seacord(罗伯特 C.西科德), Dean F.Sutherland(迪恩 F.萨瑟兰), David Svoboda(大卫•斯沃博达),更多章节内容可以访问云栖社区“异步社区”公众号查看。

指南17:最小化特权代码

程序必须符合最小特权原则,不仅为特权块提供正确操作所需的最低权限(参见指南16),而且要确保特权代码只包含那些需要增加特权的操作。如果特权代码块里包含多余的代码,那么这些多余的代码就会具有与代码块相同的操作特权,这会增加攻击面。

违规代码示例

下面的违规代码示例包含一个changePassword()方法,它试图在doPrivileged()代码块里打开一个密码文件,并使用该文件执行操作。doPrivileged()代码块还包含一个多余的代码调用system.loadLibrary(),用来加载验证库。

public void changePassword(String currentPassword,
              String newPassword) {
 final FileInputStream f[] = { null };

 AccessController.doPrivileged(new PrivilegedAction() {
  public Object run() {
   try {
    String passwordFile = System.getProperty("user.dir") +
     File.separator + "PasswordFileName";
    f[0] = new FileInputStream(passwordFile);
    // Check whether oldPassword matches the one in the file
    // If not, throw an exception
    System.loadLibrary("authentication");
   } catch (FileNotFoundException cnf) {
    // Forward to handler
   }
   return null;
  }
 }); // Forward to handler
}```
这个示例违反了最小特权原则,因为未授权调用者也可能加载身份验证库。未授权调用者不能直接调用System.loadLibrary()方法,因为这可能会使本地方法暴露给无特权的代码[SCG 2010]。此外,System.loadLibrary()方法只检查它的直接调用者的特权,所以在使用它时要千万小心。更多相关信息参见指南18。

####合规解决方案
下面的合规解决方案将对System.loadLibrary()的调用挪到了doPrivileged()代码块以外。这样做就只允许无特权代码通过密码文件执行初步的密码重置检查,从而防止了身份验证库的加载。

public void changePassword(String currentPassword,
  String newPassword) {
 final FileInputStream f[] = { null };

 AccessController.doPrivileged(new PrivilegedAction() {
  public Object run() {
   try {
    String passwordFile = System.getProperty("user.dir") +
     File.separator + "PasswordFileName";
    f[0] = new FileInputStream(passwordFile);
    // Check whether oldPassword matches the one in the file
    // If not, throw an exception
   } catch (FileNotFoundException cnf) {
    // Forward to handler
   }
   return null;
  }
 }); // End of doPrivileged()

 System.loadLibrary("authentication");
}`
loadLibrary()调用也可以在初步密码重置检查之前执行;在本例中,由于性能原因它会有一定的延迟。

适用性

最小化特权代码将减小应用程序的攻击面、简化审核特权代码的任务。

上一篇:三种在Linux上创建或扩展交换分区的简单方法


下一篇:JavaScript中的this关键字