个人中心
gpt4 book ai didi

java - 为什么我可以使用 AccessController.doPrivileged 突破受限的 AccessControlContext?

转载 作者:塔克拉玛干 更新时间:2023-11-02 20:02:58 25 4
gpt4 key购买 nike

我正在弄清楚如何在没有权限的情况下运行外部代码(来自不同的 JAR),这样它就不会损害我自己的系统。我几乎可以正常工作了,但是我发现了一个奇怪的情况,即调用 System.exit(0) 仍然会杀死整个系统。

想法是不同的 JAR 将在多线程环境中加载,因此 System.exit(0) 成功是可能发生的最坏情况,还有许多其他安全风险在服务器上。

我有以下代码(在 SSCEE 中):

public class RestrictAccessControlContext {
    private static final PermissionCollection ALLOWED_PERMISSIONS = new Permissions();
    static {
        //add permissions
    }
    private static final AccessControlContext RESTRICTED_ACCESS_CONTROL_CONTEXT = 
        new AccessControlContext(new ProtectionDomain[] { new ProtectionDomain(null, ALLOWED_PERMISSIONS)});

    private static void executeSandboxed(final Runnable runnable) {
        ExecutorService executorService = Executors.newSingleThreadExecutor();
        Future<?> future = executorService.submit(() -> {
            AccessController.doPrivileged((PrivilegedAction<Void>)() -> {
                runnable.run();
                return null;
            }, RESTRICTED_ACCESS_CONTROL_CONTEXT);
        });
        try {
            future.get();
        } catch (InterruptedException ex) {
            Thread.currentThread().interrupt();
        } catch (ExecutionException ex) {
            throw new RuntimeException(ex.getCause());
        } finally {
            executorService.shutdown();
        }
    }

    public static void main(String[] args) {
        executeSandboxed(() -> {
            AccessController.doPrivileged((PrivilegedAction<Void>)() -> {
                System.exit(0);
                return null;
            });
        });
    }
}

需要将其作为 VM 参数运行:

-Djava.security.manager -Djava.security.policy=src/java.policy

java.policy 是:

grant {
    permission java.security.AllPermission;
};

我的想法是,我自己的代码仍然具有完全权限,但沙盒代码具有受限(在本例中:无)权限。

但是在给定的示例中它只是退出,请注意主要方法的以下变体确实起作用:

public static void main(String[] args) {
    executeSandboxed(() -> System.exit(0));
}

public static void main(String[] args) {
    executeSandboxed(() -> new Thread(() -> System.exit(0)).start());
}

我在这里做错了什么,为什么可以执行提升权限的 AccessController.doPrivileged 调用,而之前权限已被限制?我希望以下情况之一为真:

  1. 本来可以调用 AccessController.doPrivileged 的特定权限。
  2. AccessController.doPrivileged block 中,权限将是“父级”AccessControlContext 和给定权限的交集。

这两个选项都会导致给定的代码正确地抛出一个 AccessControlException,但它并没有发生,为什么会这样?

最佳答案

您没有任何沙盒代码。您的代码具有完全权限,正在使用它们。没有相关权限的代码将无法退出。解决方案应该是使用不受信任的 ProtectionDomain 加载不受信任的代码。

拥有提高权限的权限是没有意义的。这相当于拥有所有权限。

在 OpenJDK 内部有一个 doPrivileged 的变体,它允许权限交叉,但这是为了在存在多个不信任源时降低权限。

关于java - 为什么我可以使用 AccessController.doPrivileged 突破受限的 AccessControlContext?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26329793/

25 4 0
文章推荐: android - Visual Studio 在 Eclipse 中的 Android 开发中相当于 Ctrl + Shift + O 的快捷方式是什么?
文章推荐: ios - SQLite 数据库总是空的 (FMDB)
文章推荐: android - Google Analytics for Android v2 广告系列跟踪不起作用
文章推荐: Java 和 YAML : how to parse multiple yaml documents and merge them to a single YAML representation?
塔克拉玛干
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com