java密码安全验证_java安全编码指南之:输入校验
简介
为了保证java程序的安全,任何外部用户的输入我们都认为是可能有恶意攻击意图,我们需要对所有的用户输入都进行一定程度的校验。
本文将带领大家探讨一下用户输入校验的一些场景。一起来看看吧。
在字符串标准化之后进行校验
通常我们在进行字符串校验的时候需要对一些特殊字符进行过滤,过滤之后再进行字符串的校验。
我们知道在java中字符是基于Unicode进行编码的。但是在Unicode中,同一个字符可能有不同的表示形式。所以我们需要对字符进行标准化。
java中有一个专门的类Normalizer来负责处理,字符标准化的问题。
我们看下面一个例子:public void testNormalizer(){
System.out.println(Normalizer.normalize("\u00C1", Normalizer.Form.NFKC));
System.out.println(Normalizer.normalize("\u0041\u0301", Normalizer.Form.NFKC));
}
输出结果:Á
Á
我们可以看到,虽然两者的Unicode不一样,但是最终表示的字符是一样的。所以我们在进行字符验证的时候,一定要先进行normalize处理。
考虑下面的例子:public void falseNormalize(){
String s = "\uFE64" + "script" + "\uFE65";
Pattern pattern = Pattern.compile("[<>]"); // 检查是否有尖括号
Matcher matcher = pattern.matcher(s);
if (matcher.find()) {
throw new IllegalStateException();
}
s = Normalizer.normalize(s, Normalizer.Form.NFKC);
}
其中uFE64表示的是,程序的本意是判断输入的字符串是否包含了尖括号,但是因为直接传入的是unicode字符,所以直接compile是检测不到的。
我们需要对代码进行下面的改动:public void trueNormalize(){
String s = "\uFE64" + "script" + "\uFE65";
s = Normalizer.normalize(s, Normalizer.Form.NFKC);
Pattern pattern = Pattern.compile("[<>]"); // 检查是否有尖括号
Matcher matcher = pattern.matcher(s);
if (matcher.find()) {
throw new IllegalStateException();
}
}
先进行normalize操作,然后再进行字符验证。
注意不可信字符串的格式化
我们经常会使用到格式化来对字符串进行格式化,在格式化的时候如果格式化字符串里面带有用户输入信息,那么我们就要注意了。
看下面的例子:public void wrongFormat(){
Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27);
String input=" %1$tm";
System.out.format(input + " 时间不匹配,应该是某个月的第 %1$terd 天", c);
}
粗看一下没什么问题,但是我们的input中包含了格式化信息,最后输出结果:07 时间不匹配,应该是某个月的第 27rd 天
变相的,我们获取到了系统内部的信息,在某些情况下面,可能会暴露系统的内部逻辑。
上面的例子我们应该将input也作为一个参数,如下所示:public void rightFormat(){
Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27);
String input=" %1$tm";
System.out.format("%s 时间不匹配,应该是某个月的第 %terd 天",input, c);
}
输出结果:%1$tm 时间不匹配,应该是某个月的第 27rd 天
小心使用Runtime.exec()
我们知道Runtime.exec()使用来调用系统命令的,如果有恶意的用户调用了“rm -rf /”,一切的一切都完蛋了。
所以,我们在调用Runtime.exec()的时候,一定要小心注意检测用户的输入。
看下面的一个例子:public void wrongExec() throws IOException {
String dir = System.getProperty("dir");
Runtime rt = Runtime.getRuntime();
Process proc = rt.exec(new String[] {"sh", "-c", "ls " + dir});
}
上面的例子中,我们从系统属性中读取dir,然后执行了系统的ls命令来查看dir中的内容。
如果有恶意用户给dir赋值成:/usr & rm -rf /
那么系统实际上执行的命令就是:sh -c 'ls /usr & rm -rf /'
从而导致恶意的删除。
解决上面的问题也有几个方法,第一个方法就是对输入做个校验,比如我们只运行dir包含特定的字符:public void correctExec1() throws IOException {
String dir = System.getProperty("dir");
if (!Pattern.matches("[0-9A-Za-z@.]+", dir)) {
// Handle error
}
Runtime rt = Runtime.getRuntime();
Process proc = rt.exec(new String[] {"sh", "-c", "ls " + dir});
}
第二种方法就是使用switch语句,限定特定的输入:public void correctExec2(){
String dir = System.getProperty("dir");
switch (dir){
case "/usr":
System.out.println("/usr");
break;
case "/local":
System.out.println("/local");
break;
default:
break;
}
}
还有一种就是不使用Runtime.exec()方法,而是使用java自带的方法。
正则表达式的匹配
在正则表达式的构建过程中,如果使用用户自定义输入,同样的也需要进行输入校验。
考虑下面的正则表达式:(.*? +public\[\d+\] +.*.*)
上面的表达式本意是想在public[1234]这样的日志信息中,搜索用户的输入。
但是用户实际上可以输入下面的信息:.*)|(.*
最终导致正则表达式变成下面的样子:(.*? +public\[\d+\] +.*.*)|(.*.*)
从而导致匹配所有的日志信息。
解决方法也有两个,一个是使用白名单,判断用户的输入。一个是使用Pattern.quote()来对恶意字符进行转义。
本文的代码:本文已收录于 http://www.flydean.com/java-security-code-line-input/
最通俗的解读,最深刻的干货,最简洁的教程,众多你不知道的小技巧等你来发现!
欢迎关注我的公众号:「程序那些事」,懂技术,更懂你!
java密码安全验证_java安全编码指南之:输入校验相关推荐
- java判断输入的格式化_java安全编码指南之:输入校验 - flydean - 博客园
目录简介 在字符串标准化之后进行校验 注意不可信字符串的格式化 小心使用Runtime.exec() 正则表达式的匹配 简介 为了保证java程序的安全,任何外部用户的输入我们都认为是可能有恶意攻击意 ...
- java安全编码指南之:输入校验
文章目录 简介 在字符串标准化之后进行校验 注意不可信字符串的格式化 小心使用Runtime.exec() 正则表达式的匹配 简介 为了保证java程序的安全,任何外部用户的输入我们都认为是可能有恶意 ...
- java static 对象加锁_java安全编码指南之:lock和同步的正确使用
简介 在java多线程环境中,lock和同步是我们一定会使用到的功能.那么在java中编写lock和同步相关的代码之后,需要注意哪些问题呢?一起来看看吧. 使用private final object ...
- java xml格式验证_Java中对XML文件的校验
Java中使用dtd校验xml文件: 1.定义一个校验类CheckXML类: import org.w3c.dom.Document; import org.xml.sax.EntityResolve ...
- try catch对异常进行输出到日志、_java安全编码指南之:异常处理
点击上方的蓝字关注我吧 程序那些事 简介 异常是java程序员无法避免的一个话题,我们会有JVM自己的异常也有应用程序的异常,对于不同的异常,我们的处理原则是不是一样的呢? 一起来看看吧. 异常简介 ...
- java声明代码是什么_java安全编码指南之:声明和初始化说明
简介 在java对象和字段的初始化过程中会遇到哪些安全性问题呢?一起来看看吧. 初始化顺序 根据JLS(Java Language Specification)中的定义,class在初始化过程中,需要 ...
- java中的getnumber怎么用_java安全编码指南之:Number操作详解
简介 java中可以被称为Number的有byte,short,int,long,float,double和char,我们在使用这些Nubmer的过程中,需要注意些什么内容呢?一起来看看吧. Numb ...
- java 置位_java安全编码指南之:Mutability可变性详解
简介 mutable(可变)和immutable(不可变)对象是我们在java程序编写的过程中经常会使用到的. 可变类型对象就是说,对象在创建之后,其内部的数据可能会被修改.所以它的安全性没有保证. ...
- java字符转变汉子_java字符编码转换研究(转) 第一部分收藏
未找到原出处,请见谅. 1. 概述 本文主要包括以下几个方面:编码基本知识,java,系统软件,url,工具软件等. 在下面的描述中,将以"中文"两个字为例,经查表可以知道其GB2 ...
最新文章
- Oracle10g中安装Perl环境所产生的冲突
- Ubuntu 18安装 chrome
- HDU 1828 Picture 线段树 扫描线
- js 多个定时器_JS中的同步/异步编程
- @value 静态变量_Java中的变量——通过示例学习Java编程(4)
- VBA学习过程中遇到的问题(主要针对Excel)
- svn is already locked解决办法
- paip.提升性能----jvm参数调整.txt
- netty权威指南---编解码技术
- 为 iPhone 制作 30s 以上的铃声
- VMware虚拟桌面
- zcu111解决DP时钟报错问题
- 谈“太极起势”的练法
- 蓝牙鼠标windows linux,windows linux双系统共用蓝牙鼠标
- 教你如何用shell脚本输出菱形
- 成人学习国画可能产生哪些错误的思想?
- 对产品经理来说,在求职的时候,PMP和NPDP两个证书,哪一个权威性比较高,含金量比较大?
- MySQL实现按距离范围查找
- LVS的10个调度算法
- IDEA 2021.1 的 Win 和 Mac 快捷键大全!!