Java安全编程规则深度解析

### Java 安全编程规则深度解析 在 Java 编程领域，安全问题至关重要。本文将深入探讨几个关键的 Java 安全编程规则，包括自定义类加载器、本地方法包装、代码签名、安全敏感代码处理以及环境变量使用等方面的规则，旨在帮助开发者编写更安全的 Java 代码。 #### 1. 自定义类加载器：调用超类的 getPermissions() 方法 在编写自定义类加载器时，如果需要重写 `getPermissions()` 方法，必须在为代码源分配任意权限之前，通过显式调用超类的 `getPermissions()` 方法来参考默认系统策略。若忽略超类的 `getPermissions()` 方法，可能会导致加载的不可信类获得提升的权限。 - **非合规代码示例** ```java protected PermissionCollection getPermissions(CodeSource cs) { PermissionCollection pc = new Permissions(); // allow exit from the VM anytime pc.add(new RuntimePermission("exitVM")); return pc; } ``` 在这个示例中，自定义类加载器重写了 `getPermissions()` 方法，但没有调用超类更严格的 `getPermissions()` 方法。因此，使用该自定义类加载器定义的类所拥有的权限与系统范围策略文件中指定的权限完全无关，实际上是覆盖了这些权限。 - **合规解决方案** ```java protected PermissionCollection getPermissions(CodeSource cs) { PermissionCollection pc = super.getPermissions(cs); // allow exit from the VM anytime pc.add(new RuntimePermission("exitVM")); return pc; } ``` 在合规解决方案中，`getPermissions()` 方法调用了 `super.getPermissions()`。这样，除了自定义策略外，还会应用默认的系统范围安全策略。 - **风险评估** 在定义自定义类加载器时，如果不参考默认系统策略，就违反了防御性编程的原则，可能会导致定义的类拥有意外的权限。 | 规则 | 严重程度 | 可能性 | 修复成本 | 优先级 | 级别 | | ---- | ---- | ---- | ---- | ---- | ---- | | SEC07 - J | 高 | 可能 | 低 | P18 | L1 | - **自动化检测** 可以使用类似 FindBugs 的启发式检查器来发现违反此规则的情况。与所有启发式检查一样，实现低误报率至关重要。 #### 2. 定义本地方法的包装器 本地方法在 Java 中定义，但使用 C 和 C++ 等语言编写。虽然本地方法增加了可扩展性，但牺牲了灵活性和可移植性，因为代码不再符合 Java 强制执行的策略。定义包装器方法有助于安装适当的安全管理器检查、验证传递给本地代码的参数、验证返回值、防御性复制可变输入以及清理不可信数据。因此，每个本地方法都必须是私有的，并且只能由包装器方法调用。 - **非合规代码示例** ```java public final class NativeMethod { // public native method public native void nativeOperation(byte[] data, int offset, int len); // wrapper method that lacks security checks and input validation public void doOperation(byte[] data, int offset, int len) { nativeOperation(data, offset, len); } static { // load native library in static initializer of class System.loadLibrary("NativeMethodLib"); } } ``` 在这个非合规代码示例中，`nativeOperation()` 方法既是本地方法又是公共方法，因此不可信的调用者可能会调用它。本地方法调用会绕过安全管理器检查。此外，`doOperation()` 包装器方法调用了 `nativeOperation()` 本地方法，但未能提供输入验证或安全检查。 - **合规解决方案** ```java public final class NativeMethodWrapper { // private native method private native void nativeOperation(byte[] data, int offset, int len); // wrapper method performs SecurityManager and input validation checks public void doOperation(byte[] data, int offset, int len) { // permission needed to invoke native method securityManagerCheck(); if (data == null) { throw new NullPointerException(); } // copy mutable input data = data.clone(); // validate input if ((offset < 0) || (len < 0) || (offset > (data.length - len))) { throw new IllegalArgumentException(); } nativeOperation(data, offset, len); } static { // load native library in static initializer of class System.loadLibrary("NativeMethodLib"); } } ``` 在合规解决方案中，本地方法被声明为私有。`doOperation()` 包装器方法检查权限、创建可变输入数组 `data` 的防御性副本，并检查参数的范围。因此，`nativeOperation()` 方法将使用安全的输入进行调用。 - **例外情况** SEC08 - EX0：不需要安全管理器检查、参数或返回值验证以及防御性复制可变输入的本地方法（例如标准 C 函数 `int rand(void)`）不需要包装。 - **风险评估** 如果不定义本地方法的包装器，可能会允许无特权的调用者调用这些方法，并利用本地库中固有的漏洞，如缓冲区溢出。 | 规则 | 严重程度 | 可能性 | 修复成本 | 优先级 | 级别 | | ---- | ---- | ---- | ---- | ---- | ---- | | SEC08 - J | 中 | 可能 | 高 | P4 | L3 | - **自动化检测** 在一般情况下，自动化检测是不可行的。然而，类似于 Design Fragments 的方法可以帮助程序员和静态分析工具。 下面用 mermaid 流程图展示本地方法调用的合规与非合规流程： ```mermaid graph LR classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px; classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; classDef decision fill:#FFF6CC,stroke:#FFBC52,stro ```