为什么使用clone进行防御性复制会带来安全问题?

时间:2014-02-20 03:41:55

标签: java security defensive-programming

这些天我正在阅读Joshua Bloch的第二版Effective Java。在第39项中,他提到将一个可变对象的防御性副本作为参数传递是个好主意,比如在给定类Foo的构造函数中,如果这些对象稍后用于表示类Foo的状态。在同一个上下文中,他提到避免使用非final类的clone()方法,因为它可能返回一个不受信任的子类的实例,用于执行恶意操作。

这是我没有明确得到的。作为恶意子类的一个例子,他提到了一个类,它可以“在创建时记录对私有静态列表中每个实例的引用,并允许攻击者访问该列表”。

我的怀疑:

  1. 他是否意味着这个恶意类实际上可以记录封装类的所有私有/受保护/包/公共实例的引用?

  2. 如果是这样,怎么可能呢?你能给我一个例子吗?

    3. THX!

2 个答案:

答案 0 :(得分:8)

与安全性一样,设置适用的上下文非常重要。我们对潜在恶意代码可以访问受攻击的受信任类的情况感兴趣。例如,在浏览器中,Java PlugIn可信库可以由不受信任的代码访问。曾经是RMI加载远程代码的情况,但它现在已经与安全默认的策略保持一致。

可变参数的问题在于它们可以在检查有效性和使用它们之间进行更改。这称为检查/使用时间漏洞,TOCTOU(或TOC2TOU)。在实践中,这可以是两种用途,而不是一种特别用于检查的用途。其他设计糟糕但看起来不可变但可子类化的类(例如java.io.File),可以被子类化为可变的,作为在调用时执行任意代码的能力的一部分。

此处讨论的特定攻击情形是覆盖clone以阻止复制尝试的地方。对static的引用在这种情况下是无关紧要的(它在finalizer攻击中很重要,但主要反映的是攻击代码很少被设计为干净的。)

class MaliciousDate {
    private final List<MaliciousDate> dates;
    public MaliciousDate(List<MaliciousDate> dates) {
        this.dates = dates;
    }
    @Override public MaliciousDate clone() {
        MalicousDate other = (MalicousDate)super.clone(); // Or new MalicousDate
        synchronized (dates) {
            dates.add(other);
        }
        return other; // Or return this;
    }
}

修改书中的例子。

public Period(Date start, Date end) {
    // Failing defensive copy.
    start = (Date)start.clone();
    end   = (Date)end  .clone();

    if (start.compareTo(end) > 0)
        throw new IllegalArgumentExcpetion();
    this.start = start;
    this.end = end;
}

然后攻击:

List<MaliciousDate> dates = new ArrayList<>()
Date start = new MaliciousDate(dates);
Date end = new MaliciousDate(dates);
Period p = new Period(start, end);
dates.get(1).setYear(78); // Modifies internals of p!

结论:使您的值类型具有强大的不可变性。完全令人敬畏的Secure Coding Guidelines for the Java Programming Language中的更多信息。

答案 1 :(得分:1)

恶意子类的clone方法可以通过getDeclaredFields方法访问其超类的私有成员 - 这将返回所有超类的字段,甚至是那些被声明为私有的字段。

我相信本书所指的是clone方法还可以存储通过clone方法实例化的所有实例的列表。

class MaliciousClass extends LegitimateClass {
  public static ArrayList privateData = new ArrayList()
  public static ArrayList clonedInstances = new ArrayList();
  protected Object clone() {
    Fields[] fields = this.getSuperclass().getDeclaredFields();
    for(Field field: Fields) {
      privateData.add(field.get(this));
    }
    Object clonedObject = // perform clone, returning an instance of MaliciousClass
    clonedInstances.add(clonedObject);
    return clonedObject;
  }
}
相关问题
最新问题