java 安全编码指南之: 输入校验

bugouhen

发布于 2020-9-29 18:56

浏览

0收藏

简介
为了保证java程序的安全，任何外部用户的输入我们都认为是可能有恶意攻击意图，我们需要对所有的用户输入都进行一定程度的校验。

本文将带领大家探讨一下用户输入校验的一些场景。一起来看看吧。

在字符串标准化之后进行校验

通常我们在进行字符串校验的时候需要对一些特殊字符进行过滤，过滤之后再进行字符串的校验。

我们知道在java中字符是基于Unicode进行编码的。但是在Unicode中，同一个字符可能有不同的表示形式。所以我们需要对字符进行标准化。

java中有一个专门的类Normalizer来负责处理，字符标准化的问题。

我们看下面一个例子：

    public void testNormalizer(){
        System.out.println(Normalizer.normalize("\u00C1", Normalizer.Form.NFKC));
        System.out.println(Normalizer.normalize("\u0041\u0301", Normalizer.Form.NFKC));
    }
1.
2.
3.
4.

输出结果：

Á
Á
1.
2.

我们可以看到，虽然两者的Unicode不一样，但是最终表示的字符是一样的。所以我们在进行字符验证的时候，一定要先进行normalize处理。

考虑下面的例子：

    public void falseNormalize(){
        String s = "\uFE64" + "script" + "\uFE65";
        Pattern pattern = Pattern.compile("[<>]"); // 检查是否有尖括号
        Matcher matcher = pattern.matcher(s);
        if (matcher.find()) {
            throw new IllegalStateException();
        }
        s = Normalizer.normalize(s, Normalizer.Form.NFKC);
    }
1.
2.
3.
4.
5.
6.
7.
8.
9.

其中\uFE64表示的是<,而\uFE65表示的是>,程序的本意是判断输入的字符串是否包含了尖括号，但是因为直接传入的是unicode字符，所以直接compile是检测不到的。

我们需要对代码进行下面的改动：

    public void trueNormalize(){
        String s = "\uFE64" + "script" + "\uFE65";
        s = Normalizer.normalize(s, Normalizer.Form.NFKC);
        Pattern pattern = Pattern.compile("[<>]"); // 检查是否有尖括号
        Matcher matcher = pattern.matcher(s);
        if (matcher.find()) {
            throw new IllegalStateException();
        }
    }
1.
2.
3.
4.
5.
6.
7.
8.
9.

先进行normalize操作，然后再进行字符验证。

注意不可信字符串的格式化

我们经常会使用到格式化来对字符串进行格式化，在格式化的时候如果格式化字符串里面带有用户输入信息，那么我们就要注意了。

看下面的例子：

    public void wrongFormat(){
        Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27);
        String input=" %1$tm";
        System.out.format(input + " 时间不匹配，应该是某个月的第 %1$terd 天", c);
    }
1.
2.
3.
4.
5.

粗看一下没什么问题，但是我们的input中包含了格式化信息，最后输出结果：

 07 时间不匹配，应该是某个月的第 27rd 天
1.

变相的，我们获取到了系统内部的信息，在某些情况下面，可能会暴露系统的内部逻辑。

上面的例子我们应该将input也作为一个参数，如下所示：

    public void rightFormat(){
        Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27);
        String input=" %1$tm";
        System.out.format("%s 时间不匹配，应该是某个月的第 %terd 天",input, c);
    }
1.
2.
3.
4.
5.

输出结果：

 %1$tm 时间不匹配，应该是某个月的第 27rd 天
1.

分类

Java

标签

java 安全编码

已于2020-9-29 18:56:06修改

1条回复

按时间正序

按时间倒序

bugouhen

小心使用Runtime.exec()
我们知道Runtime.exec()使用来调用系统命令的，如果有恶意的用户调用了“rm -rf /”,一切的一切都完蛋了。

所以，我们在调用Runtime.exec()的时候，一定要小心注意检测用户的输入。

已于2020-9-29 19:10:47修改

2020-9-29 19:00:53

相关推荐

java之如何在页面中设置跳转编码JSP系列

killads • 1.0w浏览 • 0回复
java安全编码指南之:字符串和编码

棉花糖 • 1.2w浏览 • 0回复
java 安全编码指南之: 堆污染 Heap pollution

davisl • 8384浏览 • 0回复
java 安全编码指南之: 表达式规则

hushuo • 7414浏览 • 0回复
HarmonyOS Java UI之DirectionalLayout布局

Tuer白晓明 • 1.8w浏览 • 1回复
HarmonyOS Java UI之TableLayout布局示例

Tuer白晓明 • 1.2w浏览 • 1回复
HarmonyOS Java UI之AdaptiveBoxLayout布局示例

Tuer白晓明 • 1.7w浏览 • 4回复
HarmonyOS Java UI之StackLayout布局示例

Tuer白晓明 • 1.7w浏览 • 2回复
HarmonyOS Java UI之DependentLayout布局示例

Tuer白晓明 • 1.8w浏览 • 5回复
【HarmonyOS】安全指南

索姆拉 • 1.7w浏览 • 1回复
HarmonyOS官方模板学习之 Category Ability(Java)

Buty9147 • 1.3w浏览 • 4回复
OpenHarmony 源码解析之安全子系统 (应用权限管理)

深开鸿 • 3.1w浏览 • 17回复
OpenHarmony源码解析之基于wayland的输入系统

深开鸿 • 2.1w浏览 • 6回复
鸿蒙智联之XTS认证测试指南

拓维信息_hyh • 1.3w浏览 • 3回复
Jchardet——支持检测并输出文件编码方式的组件

OpenHarmony开发者 • 8406浏览 • 3回复
浅谈分布式存储之数据校验

鹏云网络 • 3755浏览 • 0回复
HarmonyOS实现表单页面的输入，必填校验和提交

HarmonyOS开发者 • 5106浏览 • 0回复
基础篇：JAVA资源之IO、字节编码、URL和Spring.Resource（上篇）

老老老JR老北 • 4062浏览 • 0回复
基础篇：JAVA资源之IO、字节编码、URL和Spring.Resource（下篇）

老老老JR老北 • 3559浏览 • 0回复

bugouhen

这个用户很懒，还没有个人简介

帖子

视频

声望

粉丝

关注

51CTO

51CTO博客

51CTO学堂

java 安全编码指南之: 输入校验

订阅鸿蒙技术特刊，精选内容抢先看