本节书摘来异步社区《java编码指南:编写安全可靠程序的75条建议》一书中的第1章,第1.17节,作者:【美】fred long(弗雷德•朗), dhruv mohindra(德鲁•莫欣达), robert c.seacord(罗伯特 c.西科德), dean f.sutherland(迪恩 f.萨瑟兰), david svoboda(大卫•斯沃博达),更多章节内容可以访问云栖社区“异步社区”公众号查看。
程序必须符合最小特权原则,不仅为特权块提供正确操作所需的最低权限(参见指南16),而且要确保特权代码只包含那些需要增加特权的操作。如果特权代码块里包含多余的代码,那么这些多余的代码就会具有与代码块相同的操作特权,这会增加攻击面。
下面的违规代码示例包含一个changepassword()方法,它试图在doprivileged()代码块里打开一个密码文件,并使用该文件执行操作。doprivileged()代码块还包含一个多余的代码调用system.loadlibrary(),用来加载验证库。
public void changepassword(string currentpassword,
string newpassword) {
final fileinputstream f[] = { null };
accesscontroller.doprivileged(new privilegedaction() {
public object run() {
try {
string passwordfile = system.getproperty("user.dir") +
file.separator + "passwordfilename";
f[0] = new fileinputstream(passwordfile);
// check whether oldpassword matches the one in the file
// if not, throw an exception
} catch (filenotfoundexception cnf) {
// forward to handler
}
return null;
}
}); // end of doprivileged()
system.loadlibrary("authentication");
}<code>`</code>
loadlibrary()调用也可以在初步密码重置检查之前执行;在本例中,由于性能原因它会有一定的延迟。
最小化特权代码将减小应用程序的攻击面、简化审核特权代码的任务。
![Java小案例——随机数猜测随机数猜测[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)