java安全編碼指南之:輸入校驗
簡介
為了保證java程序的安全,任何外部用戶的輸入我們都認為是可能有惡意攻擊意圖,我們需要對所有的用戶輸入都進行一定程度的校驗。
本文將帶領大家探討一下用戶輸入校驗的一些場景。一起來看看吧。
在字符串標準化之後進行校驗
通常我們在進行字符串校驗的時候需要對一些特殊字符進行過濾,過濾之後再進行字符串的校驗。
我們知道在java中字符是基於Unicode進行編碼的。但是在Unicode中,同一個字符可能有不同的表示形式。所以我們需要對字符進行標準化。
java中有一個專門的類Normalizer來負責處理,字符標準化的問題。
我們看下面一個例子:
public void testNormalizer(){
System.out.println(Normalizer.normalize("\u00C1", Normalizer.Form.NFKC));
System.out.println(Normalizer.normalize("\u0041\u0301", Normalizer.Form.NFKC));
}
輸出結果:
Á
Á
我們可以看到,雖然兩者的Unicode不一樣,但是最終表示的字符是一樣的。所以我們在進行字符驗證的時候,一定要先進行normalize處理。
考慮下面的例子:
public void falseNormalize(){
String s = "\uFE64" + "script" + "\uFE65";
Pattern pattern = Pattern.compile("[<>]"); // 檢查是否有尖括號
Matcher matcher = pattern.matcher(s);
if (matcher.find()) {
throw new IllegalStateException();
}
s = Normalizer.normalize(s, Normalizer.Form.NFKC);
}
其中\uFE64表示的是<,而\uFE65表示的是>,程序的本意是判斷輸入的字符串是否包含了尖括號,但是因為直接傳入的是unicode字符,所以直接compile是檢測不到的。
我們需要對代碼進行下面的改動:
public void trueNormalize(){
String s = "\uFE64" + "script" + "\uFE65";
s = Normalizer.normalize(s, Normalizer.Form.NFKC);
Pattern pattern = Pattern.compile("[<>]"); // 檢查是否有尖括號
Matcher matcher = pattern.matcher(s);
if (matcher.find()) {
throw new IllegalStateException();
}
}
先進行normalize操作,然後再進行字符驗證。
注意不可信字符串的格式化
我們經常會使用到格式化來對字符串進行格式化,在格式化的時候如果格式化字符串裏面帶有用戶輸入信息,那麼我們就要注意了。
看下面的例子:
public void wrongFormat(){
Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27);
String input=" %1$tm";
System.out.format(input + " 時間不匹配,應該是某個月的第 %1$terd 天", c);
}
粗看一下沒什麼問題,但是我們的input中包含了格式化信息,最後輸出結果:
07 時間不匹配,應該是某個月的第 27rd 天
變相的,我們獲取到了系統內部的信息,在某些情況下面,可能會暴露系統的內部邏輯。
上面的例子我們應該將input也作為一個參數,如下所示:
public void rightFormat(){
Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27);
String input=" %1$tm";
System.out.format("%s 時間不匹配,應該是某個月的第 %terd 天",input, c);
}
輸出結果:
%1$tm 時間不匹配,應該是某個月的第 27rd 天
小心使用Runtime.exec()
我們知道Runtime.exec()使用來調用系統命令的,如果有惡意的用戶調用了「rm -rf /」,一切的一切都完蛋了。
所以,我們在調用Runtime.exec()的時候,一定要小心注意檢測用戶的輸入。
看下面的一個例子:
public void wrongExec() throws IOException {
String dir = System.getProperty("dir");
Runtime rt = Runtime.getRuntime();
Process proc = rt.exec(new String[] {"sh", "-c", "ls " + dir});
}
上面的例子中,我們從系統屬性中讀取dir,然後執行了系統的ls命令來查看dir中的內容。
如果有惡意用戶給dir賦值成:
/usr & rm -rf /
那麼系統實際上執行的命令就是:
sh -c 'ls /usr & rm -rf /'
從而導致惡意的刪除。
解決上面的問題也有幾個方法,第一個方法就是對輸入做個校驗,比如我們只運行dir包含特定的字符:
public void correctExec1() throws IOException {
String dir = System.getProperty("dir");
if (!Pattern.matches("[0-9A-Za-z@.]+", dir)) {
// Handle error
}
Runtime rt = Runtime.getRuntime();
Process proc = rt.exec(new String[] {"sh", "-c", "ls " + dir});
}
第二種方法就是使用switch語句,限定特定的輸入:
public void correctExec2(){
String dir = System.getProperty("dir");
switch (dir){
case "/usr":
System.out.println("/usr");
break;
case "/local":
System.out.println("/local");
break;
default:
break;
}
}
還有一種就是不使用Runtime.exec()方法,而是使用java自帶的方法。
正則表達式的匹配
在正則表達式的構建過程中,如果使用用戶自定義輸入,同樣的也需要進行輸入校驗。
考慮下面的正則表達式:
(.*? +public\[\d+\] +.*<SEARCHTEXT>.*)
上面的表達式本意是想在public[1234]這樣的日誌信息中,搜索用戶的輸入。
但是用戶實際上可以輸入下面的信息:
.*)|(.*
最終導致正則表達式變成下面的樣子:
(.*? +public\[\d+\] +.*.*)|(.*.*)
從而導致匹配所有的日誌信息。
解決方法也有兩個,一個是使用白名單,判斷用戶的輸入。一個是使用Pattern.quote()來對惡意字符進行轉義。
本文的代碼:
learn-java-base-9-to-20/tree/master/security
本文已收錄於 //www.flydean.com/java-security-code-line-input/
最通俗的解讀,最深刻的乾貨,最簡潔的教程,眾多你不知道的小技巧等你來發現!
歡迎關注我的公眾號:「程序那些事」,懂技術,更懂你!
