java - 如果类不是最终类、允许克隆等，如何利用 Java 易受攻击的代码

Question

我不知道我是否没有看到一些明显的东西...我正在阅读这些安全编码建议:http://www.javaworld.com/article/2076837/mobile-java/twelve-rules-for-developing-more-secure-java-code.html

如果我们不将类或方法声明为final，则攻击者可能会在字节码中覆盖或扩展它们，因此他可以在字节码中放置自己的恶意代码，但我不清楚如何即可完成攻击。我的意思是，如何使程序使用扩展类而不是原始类......例如，如果我们有一个程序:

public class TheClass {
    public void someAction(char[] userPassword) {
        //some action
    }
}

public class Program {
    public static void main(String[] args) {
        TheClass theClass=new TheClass();
        theClass.someAction(readPasswordFromUserInput());
    }
}

攻击者创建了另一个恶意类:

public class TheMaliciousClass extends TheClass{
    public void someAction(char[] userPassword) {
        //some action
        //some malicious action
        //send password to attacker's website
    }
}

如何欺骗程序、用户或任何你需要欺骗的东西，以便程序使用 TheMaliciousClass 而不是 TheClass？也许我没有理解正确的观点，并且攻击是以其他方式完成的......无论如何，我会很感激任何解释。非常感谢!!

在 OWASP 中，他们还讨论了“最终性”中的安全缺陷:https://www.owasp.org/index.php/Java_leading_security_practice

Answer 1

那篇文章是 1998 年的。我对其中一些规则有点怀疑。您最好遵循类似 CERT Java Secure Coding Guidelines 的内容。其中清楚地解释了每个规则中的漏洞以及正确的修复方法。

更新:问题是你的原始来源和你在评论中添加的来源做出了模糊的概括。您在评论中引用的来源说“除非您有充分的理由不这样做，否则将类(class)定为 final类”(即有正当理由将类(class)定为非 final类)。而且，静态分析工具不可能理解“这个类应该是可扩展的”和“这个类不应该是可扩展的”。

基本上，您的问题触及了问题的根源。如果您控制类的实例化和使用方式，那么攻击者可以扩展类的事实如何改变任何事情呢？正如您推断的那样，他们不能!如果攻击者可以自己实例化该类，然后将其传递到您的敏感应用程序代码中，那么这可能是一个问题。

最重要的是，您需要了解这些建议仅适用于某些情况。如果攻击者无法直接访问正在运行的代码，那么此建议与您无关(例如，如果您正在编写 Web 应用程序)。如果攻击者可以物理访问正在运行的代码，那么其他一切可能都无关紧要，因为他们可以使用 jvm 做任何他们想做的事情。此可扩展性建议唯一有意义的情况是在允许第三方将代码注入(inject)正在运行的应用程序并且您的应用程序在 SecurityManager 下运行的应用程序中。如果这不是您的情况，那么您可以忽略此建议。

最终，许多安全建议都是微妙的，您必须了解问题才能对代码做出合理的决策。对于这些细致入微的建议，静态分析除了提醒您有一个类需要您考虑之外，不会做太多事情。