java安全編碼指南之:輸入校驗
阿新 • • 發佈:2020-09-21
[toc]
# 簡介
為了保證java程式的安全,任何外部使用者的輸入我們都認為是可能有惡意攻擊意圖,我們需要對所有的使用者輸入都進行一定程度的校驗。
本文將帶領大家探討一下使用者輸入校驗的一些場景。一起來看看吧。
# 在字串標準化之後進行校驗
通常我們在進行字串校驗的時候需要對一些特殊字元進行過濾,過濾之後再進行字串的校驗。
我們知道在java中字元是基於Unicode進行編碼的。但是在Unicode中,同一個字元可能有不同的表示形式。所以我們需要對字元進行標準化。
java中有一個專門的類Normalizer來負責處理,字元標準化的問題。
我們看下面一個例子:
~~~java
public void testNormalizer(){
System.out.println(Normalizer.normalize("\u00C1", Normalizer.Form.NFKC));
System.out.println(Normalizer.normalize("\u0041\u0301", Normalizer.Form.NFKC));
}
~~~
輸出結果:
~~~java
Á
Á
~~~
我們可以看到,雖然兩者的Unicode不一樣,但是最終表示的字元是一樣的。所以我們在進行字元驗證的時候,一定要先進行normalize處理。
考慮下面的例子:
~~~java
public void falseNormalize(){
String s = "\uFE64" + "script" + "\uFE65";
Pattern pattern = Pattern.compile("[<>]"); // 檢查是否有尖括號
Matcher matcher = pattern.matcher(s);
if (matcher.find()) {
throw new IllegalStateException();
}
s = Normalizer.normalize(s, Normalizer.Form.NFKC);
}
~~~
其中\uFE64表示的是<,而\uFE65表示的是>,程式的本意是判斷輸入的字串是否包含了尖括號,但是因為直接傳入的是unicode字元,所以直接compile是檢測不到的。
我們需要對程式碼進行下面的改動:
~~~java
public void trueNormalize(){
String s = "\uFE64" + "script" + "\uFE65";
s = Normalizer.normalize(s, Normalizer.Form.NFKC);
Pattern pattern = Pattern.compile("[<>]"); // 檢查是否有尖括號
Matcher matcher = pattern.matcher(s);
if (matcher.find()) {
throw new IllegalStateException();
}
}
~~~
先進行normalize操作,然後再進行字元驗證。
# 注意不可信字串的格式化
我們經常會使用到格式化來對字串進行格式化,在格式化的時候如果格式化字串裡面帶有使用者輸入資訊,那麼我們就要注意了。
看下面的例子:
~~~java
public void wrongFormat(){
Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27);
String input=" %1$tm";
System.out.format(input + " 時間不匹配,應該是某個月的第 %1$terd 天", c);
}
~~~
粗看一下沒什麼問題,但是我們的input中包含了格式化資訊,最後輸出結果:
~~~java
07 時間不匹配,應該是某個月的第 27rd 天
~~~
變相的,我們獲取到了系統內部的資訊,在某些情況下面,可能會暴露系統的內部邏輯。
上面的例子我們應該將input也作為一個引數,如下所示:
~~~java
public void rightFormat(){
Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27);
String input=" %1$tm";
System.out.format("%s 時間不匹配,應該是某個月的第 %terd 天",input, c);
}
~~~
輸出結果:
~~~java
%1$tm 時間不匹配,應該是某個月的第 27rd 天
~~~
# 小心使用Runtime.exec()
我們知道Runtime.exec()使用來呼叫系統命令的,如果有惡意的使用者呼叫了“rm -rf /”,一切的一切都完蛋了。
所以,我們在呼叫Runtime.exec()的時候,一定要小心注意檢測使用者的輸入。
看下面的一個例子:
~~~java
public void wrongExec() throws IOException {
String dir = System.getProperty("dir");
Runtime rt = Runtime.getRuntime();
Process proc = rt.exec(new String[] {"sh", "-c", "ls " + dir});
}
~~~
上面的例子中,我們從系統屬性中讀取dir,然後執行了系統的ls命令來檢視dir中的內容。
如果有惡意使用者給dir賦值成:
~~~java
/usr & rm -rf /
~~~
那麼系統實際上執行的命令就是:
~~~java
sh -c 'ls /usr & rm -rf /'
~~~
從而導致惡意的刪除。
解決上面的問題也有幾個方法,第一個方法就是對輸入做個校驗,比如我們只執行dir包含特定的字元:
~~~java
public void correctExec1() throws IOException {
String dir = System.getProperty("dir");
if (!Pattern.matches("[0-9A-Za-z@.]+", dir)) {
// Handle error
}
Runtime rt = Runtime.getRuntime();
Process proc = rt.exec(new String[] {"sh", "-c", "ls " + dir});
}
~~~
第二種方法就是使用switch語句,限定特定的輸入:
~~~java
public void correctExec2(){
String dir = System.getProperty("dir");
switch (dir){
case "/usr":
System.out.println("/usr");
break;
case "/local":
System.out.println("/local");
break;
default:
break;
}
}
~~~
還有一種就是不使用Runtime.exec()方法,而是使用java自帶的方法。
# 正則表示式的匹配
在正則表示式的構建過程中,如果使用使用者自定義輸入,同樣的也需要進行輸入校驗。
考慮下面的正則表示式:
~~~java
(.*? +public\[\d+\] +.*.*)
~~~
上面的表示式本意是想在public[1234]這樣的日誌資訊中,搜尋使用者的輸入。
但是使用者實際上可以輸入下面的資訊:
~~~java
.*)|(.*
~~~
最終導致正則表示式變成下面的樣子:
~~~java
(.*? +public\[\d+\] +.*.*)|(.*.*)
~~~
從而導致匹配所有的日誌資訊。
解決方法也有兩個,一個是使用白名單,判斷使用者的輸入。一個是使用Pattern.quote()來對惡意字元進行轉義。
本文的程式碼:
[learn-java-base-9-to-20/tree/master/security](https://github.com/ddean2009/learn-java-base-9-to-20/tree/master/security)
> 本文已收錄於 [http://www.flydean.com/java-security-code-line-input/](http://www.flydean.com/java-security-code-line-input/)
>
> 最通俗的解讀,最深刻的乾貨,最簡潔的教程,眾多你不知道的小技巧等你來發現!
>
> 歡迎關注我的公眾號:「程式那些事」,懂技術,更