《Java编码指南：编写安全可靠程序的75条建议》—— 指南17：最小化特权代码-阿里云开发者社区

《Java编码指南：编写安全可靠程序的75条建议》—— 指南17：最小化特权代码

2017-05-02 1673

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 程序必须符合最小特权原则，不仅为特权块提供正确操作所需的最低权限（参见指南16），而且要确保特权代码只包含那些需要增加特权的操作。如果特权代码块里包含多余的代码，那么这些多余的代码就会具有与代码块相同的操作特权，这会增加攻击面。

本节书摘来异步社区《Java编码指南：编写安全可靠程序的75条建议》一书中的第1章，第1.17节，作者：【美】Fred Long（弗雷德•朗）, Dhruv Mohindra（德鲁•莫欣达）, Robert C.Seacord（罗伯特 C.西科德）, Dean F.Sutherland（迪恩 F.萨瑟兰）, David Svoboda（大卫•斯沃博达），更多章节内容可以访问云栖社区“异步社区”公众号查看。

指南17：最小化特权代码

程序必须符合最小特权原则，不仅为特权块提供正确操作所需的最低权限（参见指南16），而且要确保特权代码只包含那些需要增加特权的操作。如果特权代码块里包含多余的代码，那么这些多余的代码就会具有与代码块相同的操作特权，这会增加攻击面。

违规代码示例

下面的违规代码示例包含一个changePassword()方法，它试图在doPrivileged()代码块里打开一个密码文件，并使用该文件执行操作。doPrivileged()代码块还包含一个多余的代码调用system.loadLibrary()，用来加载验证库。

public void changePassword(String currentPassword,
　　　　　　　　　　　　　 String newPassword) {
　final FileInputStream f[] = { null };

　AccessController.doPrivileged(new PrivilegedAction() {
　　public Object run() {
　　　try {
　　　　String passwordFile = System.getProperty("user.dir") +
　　　　　File.separator + "PasswordFileName";
　　　　f[0] = new FileInputStream(passwordFile);
　　　　// Check whether oldPassword matches the one in the file
　　　　// If not, throw an exception
　　　　System.loadLibrary("authentication");
　　　} catch (FileNotFoundException cnf) {
　　　　// Forward to handler
　　　}
　　　return null;
　　}
　}); // Forward to handler
}```
这个示例违反了最小特权原则，因为未授权调用者也可能加载身份验证库。未授权调用者不能直接调用System.loadLibrary()方法，因为这可能会使本地方法暴露给无特权的代码[SCG 2010]。此外，System.loadLibrary()方法只检查它的直接调用者的特权，所以在使用它时要千万小心。更多相关信息参见指南18。

####合规解决方案
下面的合规解决方案将对System.loadLibrary()的调用挪到了doPrivileged()代码块以外。这样做就只允许无特权代码通过密码文件执行初步的密码重置检查，从而防止了身份验证库的加载。

public void changePassword(String currentPassword,
　 String newPassword) {
　final FileInputStream f[] = { null };

　AccessController.doPrivileged(new PrivilegedAction() {
　　public Object run() {
　　　try {
　　　　String passwordFile = System.getProperty("user.dir") +
　　　　　File.separator + "PasswordFileName";
　　　　f[0] = new FileInputStream(passwordFile);
　　　　// Check whether oldPassword matches the one in the file
　　　　// If not, throw an exception
　　　} catch (FileNotFoundException cnf) {
　　　　// Forward to handler
　　　}
　　　return null;
　　}
　}); // End of doPrivileged()

　System.loadLibrary("authentication");
}`
loadLibrary()调用也可以在初步密码重置检查之前执行；在本例中，由于性能原因它会有一定的延迟。

适用性

最小化特权代码将减小应用程序的攻击面、简化审核特权代码的任务。

《Java编码指南：编写安全可靠程序的75条建议》—— 指南17：最小化特权代码

指南17：最小化特权代码

违规代码示例

适用性

热门文章

最新文章

相关课程

相关电子书

相关实验场景