本节书摘来异步社区《Java编码指南:编写安全可靠程序的75条建议》一书中的第1章,第1.17节,作者:【美】Fred Long(弗雷德•朗), Dhruv Mohindra(德鲁•莫欣达), Robert C.Seacord(罗伯特 C.西科德), Dean F.Sutherland(迪恩 F.萨瑟兰), David Svoboda(大卫•斯沃博达),更多章节内容可以访问云栖社区“异步社区”公众号查看。
指南17:最小化特权代码
程序必须符合最小特权原则,不仅为特权块提供正确操作所需的最低权限(参见指南16),而且要确保特权代码只包含那些需要增加特权的操作。如果特权代码块里包含多余的代码,那么这些多余的代码就会具有与代码块相同的操作特权,这会增加攻击面。
违规代码示例
下面的违规代码示例包含一个changePassword()方法,它试图在doPrivileged()代码块里打开一个密码文件,并使用该文件执行操作。doPrivileged()代码块还包含一个多余的代码调用system.loadLibrary(),用来加载验证库。
public void changePassword(String currentPassword,
String newPassword) {
final FileInputStream f[] = { null };
AccessController.doPrivileged(new PrivilegedAction() {
public Object run() {
try {
String passwordFile = System.getProperty("user.dir") +
File.separator + "PasswordFileName";
f[0] = new FileInputStream(passwordFile);
// Check whether oldPassword matches the one in the file
// If not, throw an exception
System.loadLibrary("authentication");
} catch (FileNotFoundException cnf) {
// Forward to handler
}
return null;
}
}); // Forward to handler
}```
这个示例违反了最小特权原则,因为未授权调用者也可能加载身份验证库。未授权调用者不能直接调用System.loadLibrary()方法,因为这可能会使本地方法暴露给无特权的代码[SCG 2010]。此外,System.loadLibrary()方法只检查它的直接调用者的特权,所以在使用它时要千万小心。更多相关信息参见指南18。
####合规解决方案
下面的合规解决方案将对System.loadLibrary()的调用挪到了doPrivileged()代码块以外。这样做就只允许无特权代码通过密码文件执行初步的密码重置检查,从而防止了身份验证库的加载。public void changePassword(String currentPassword,
String newPassword) {
final FileInputStream f[] = { null };
AccessController.doPrivileged(new PrivilegedAction() {
public Object run() {
try {
String passwordFile = System.getProperty("user.dir") +
File.separator + "PasswordFileName";
f[0] = new FileInputStream(passwordFile);
// Check whether oldPassword matches the one in the file
// If not, throw an exception
} catch (FileNotFoundException cnf) {
// Forward to handler
}
return null;
}
}); // End of doPrivileged()
System.loadLibrary("authentication");
}`
loadLibrary()调用也可以在初步密码重置检查之前执行;在本例中,由于性能原因它会有一定的延迟。
适用性
最小化特权代码将减小应用程序的攻击面、简化审核特权代码的任务。