1.Java反射机制
Java反射机制是指在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意一个方法和属性;这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。
反射机制很重要的一点就是“运行时”,其使得我们可以在程序运行时加载、探索以及使用编译期间完全未知的 .class 文件。用一句话总结就是,反射可以实现在运行时可以知道任意一个类的属性和方法。
2.反射机制优点与缺点
刚接触反射的我们可能会有一个疑问,为什么要用反射,直接创建对象他不香吗,这时候就涉及到了Java中动态编译与静态编译的概念,我们简单说一下。
静态编译:在编译时确定好类型,绑定对象。
动态编译:在运行时确定类型,绑定对象。最大限度地发挥了Java的灵活性,体现了多态性,并降低了类之间的耦合性。
优 点:
反射机制可以实现动态创建对象和编译,体现出很大的灵活性,特别是在J2EE的开发者他的灵活性就表现得十分明显。例如,在一个大型软件的开发中,当程序被编译后发布,如果以后需要更新某些功能的时候,我们不可能要用户把以前软件的卸载,再重新安装新的版本。采用静态的话,需要把整个程序重新编译一次才可以实现功能的更新,而采用反射机制的话,它就可以不用卸载,只需要在运行时才动态的创建和编译,就可以实现该功能。
缺 点:
对性能有影响。反射机制其实是一种解释操作,我们通过告诉JVM,我们希望做什么并且他们组我们的要求。这类操作总是慢于只直接执行相同的操作
3.反射机制与反序列化漏洞
反序列化漏洞的关键函数:
writeObject()序列化,将Object输出成Byte流
readObject()反序列化,将Byte流输出成Object
利用反射机制,重写readObject方法,加入能够进行命令执行的函数Runtime.getRuntime(),执行calc.exe命令调出计算器
从上面的反序列化漏洞可以看出,Java反射确实可以访问private的方法和属性,这是绕过第二级安全机制的方法(之一)。它其实是Java本身为了某种目的而留下的类似于“后门”的东西,或者说是为了方便调试。不管如何,它的原理其实是关闭访问安全检查。
总的来说,当我们发现漏洞想让程序实现命令执行的时候有两个方向可以努力
1、控制代码、函数:就像命名注入等注入类漏洞一样数据被当作了代码执行;或者和上面的Demo代码一样重写readObject,加入自定义的代码
2、控制输入、数据、变量:利用代码中已有的函数和逻辑,通过改变输入内容的形态实现流程的控制(不同的输入会走不同的逻辑流程,执行不同的代码块中的代码)
对于Java反序列化漏洞来说,这属于控制数据输入一类。在调用反射机制触发漏洞时,他有两个基本点必须要满足:
1、有一个可序列化的类,并且该类是重写了readObject()方法的(由于不存在代码注入,只能查找已有代码逻辑中是否有这样的类)
2、在重写的readObject()方法的逻辑中有method.invoke函数出现,而且参数可控。
4.反射安全
看了上面的内容,我们应该由衷的感叹,Java反射机制实在是太强大了。但是,如果我们对安全有一定意识的话,就会发现Java这个机制强大的似乎有些过头了。
在处理反射时安全性是一个较复杂的问题。反射经常由框架型代码使用,由于这一点,我们可能希望框架能够全面接入代码,无需考虑常规的接入限制。但是,在其它情况下,不受控制的接入会带来严重的安全性风险。
由于这些互相矛盾的需求,Java编程语言定义一种多级别方法来处理反射的安全性。基本模式是对反射实施与应用于源代码接入相同的限制:
1、从任意位置到类公共组件的接入
2、类自身外部无任何私有组件接入
3、受保护和打包(缺省接入)组件的有限接入
相对于C++来说,Java算是比较安全的语言了。这与它们的运行机制有密切的关系,C++运行于本地,也就是说几乎所有程序的权限理论上都是相同的。而Java由于是运行于虚拟机中,而不直接与外部联系,所以实际上Java的运行环境是一个“沙盒”环境。而且作为Java的安全模型,它包括了:字节码验证器、类加载器、安全管理器、访问控制器等一系列的安全组件,所以显得Java的安全机制比较复杂的。
标签:反射,Java,安全,接入,编译,机制,序列化 From: https://www.cnblogs.com/Cai-Xiaobai/p/16902882.html