安全研究 >> 安全研究详情

Java反射机制与安全问题

作者: 美创科技安全实验室发布日期: 11月29日

00前  言

近日,笔者在总结Java反序列化漏洞的过程中发现一个怎么也绕不开的词“Java反射机制“,以前笔者只知道这是一个实现Java”准动态“语言,方便开发人员调试程序的机制而已,没想到“反射”竟成了反序列化漏洞攻击的手段之一,所以在这篇文章中好好的总结一下,反射机制的原理以及存在还有哪些安全问题。


反射机制思维导图:


01Java反射机制定义

Java反射机制是指在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意一个方法和属性;这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。


反射机制很重要的一点就是“运行时”,其使得我们可以在程序运行时加载、探索以及使用编译期间完全未知的 .class 文件。用一句话总结就是,反射可以实现在运行时可以知道任意一个类的属性和方法。



02反射机制优点与缺点

刚接触反射的我们可能会有一个疑问,为什么要用反射,直接创建对象他不香吗,这时候就涉及到了Java中动态编译与静态编译的概念,我们简单说一下。


➤ 静态编译:在编译时确定好类型,绑定对象。

➤ 动态编译:在运行时确定类型,绑定对象。最大限度地发挥了Java的灵活性,体现了多态性,并降低了类之间的耦合性。


优  点:

反射机制可以实现动态创建对象和编译,体现出很大的灵活性,特别是在J2EE的开发者他的灵活性就表现得十分明显。例如,在一个大型软件的开发中,当程序被编译后发布,如果以后需要更新某些功能的时候,我们不可能要用户把以前软件的卸载,再重新安装新的版本。采用静态的话,需要把整个程序重新编译一次才可以实现功能的更新,而采用反射机制的话,它就可以不用卸载,只需要在运行时才动态的创建和编译,就可以实现该功能。


缺   点:

对性能有影响。反射机制其实是一种解释操作,我们通过告诉JVM,我们希望做什么并且他们组我们的要求。这类操作总是慢于只直接执行相同的操作


03反射机制原理

反射机制的原理基础是理解Class类,类是java.lang.Class类的实例对象,而Class是所有的类的类。对于普通的对象,我们在创建实例的时候通常采用如下方法:


那么我们在创建class类的实例对象时是否可以同样用上面的方法创建呢


答案是不行的,所以我们查看一下Class的源码,发现他的构造器是私有的,这意味着只有JVM可以创建Class的对象。


虽然我们不能像创建一个普通对象一样使用new,实例化一个对象,但是却可以通过随便一个已有的类得到一个Class对象,共有三种方式,如下:(假设存在一个叫Demo的普通类)


1、实例化一个普通的其他类,然后对这个实例调用getClass()方式获得Class对象


2、任何数据类型(包括基本数据类型)都有一个“静态”的class属性,所以直接调用.class属性获得Class对象


3、调用Class类的forNmae方法,获得Class的对象


参数是真实路径,包名.类名


三种创建方式通常用第三种,原因是第一种都已经创建了对象,已经失去了反射机制使用的意义;第二种需要导入类的包,依赖性太强,不导包就抛出编译错误。一般都是用第三种方法,一个字符串可以用传入的方法也可以写在配置文件中等多种方法。


反射机制原理就是把java类中的各种成分映射成一个个的java对象,所以我们可以在运行时调用类中的所有成员(变量、方法)。下图是反射机制中类的加载过程:



04Java反射机制操作

通过前面的介绍,我们了解了怎样获得Class的对象,而且通过反射机制,可以获得Class对象的所有成员信息,那么我们简单介绍一下获取成员的一些函数:


• 获取成员方法Method

public Method getDeclaredMethod(String name, Class<?>... parameterTypes) //得到该类所有的方法,不包括父类的。


public Method getMethod(String name, Class<?>... parameterTypes) 

//得到该类所有的public方法,包括父类的。


两个参数分别是方法名和方法参数类的类类型列表(class type)

假如类A存在四种成员方法,如下:


利用getDeclaredMethod()和getMethod()函数,获取指定class中的所有/public 成员方法


• 获取构造函数Constructor

public Constructor<T> getDeclaredConstructor(Class<?>... parameterTypes) //获得该类所有的构造器,不包括其父类的构造器。


public Constructor<T> getConstructor(Class<?>... parameterTypes) 

//获得该类所有public构造器,包括父类。


假如类A存在三种构造函数,两种public和一种private构造器


利用getDeclaredConstructor()函数,获取全部构造器;利用getConstructor()函数,只获取public构造器。

• 获取成员变量Field

publicField getDeclaredField(String name) 

//获得该类自身声明的所有变量,不包括其父类的变量。


publicField getField(String name)

//获得该类自所有的public成员变量,包括其父类变量。


类的成员变量也是一个对象,它是java.lang.reflect.Field的一个对象,所以我们通过java.lang.reflect.Field里面封装的方法来获取这些信息。


A类中存在一些不同属性的成员变量:


利用getDeclaredFields()函数,获取全部成员变量;利用getFields()函数,只获取public成员变量。



05反射机制与反序列化漏洞

反序列化漏洞的关键函数:

writeObject()序列化,将Object输出成Byte流

readObject()反序列化,将Byte流输出成Object


利用反射机制,重写readObject方法,加入能够进行命令执行的函数Runtime.getRuntime(),执行calc.exe命令调出计算器


从上面的反序列化漏洞可以看出,Java反射确实可以访问private的方法和属性,这是绕过第二级安全机制的方法(之一)。它其实是Java本身为了某种目的而留下的类似于“后门”的东西,或者说是为了方便调试。不管如何,它的原理其实是关闭访问安全检查。

总的来说,当我们发现漏洞想让程序实现命令执行的时候有两个方向可以努力


1、控制代码、函数:就像命名注入等注入类漏洞一样数据被当作了代码执行;或者和上面的Demo代码一样重写readObject,加入自定义的代码

2、控制输入、数据、变量:利用代码中已有的函数和逻辑,通过改变输入内容的形态实现流程的控制(不同的输入会走不同的逻辑流程,执行不同的代码块中的代码)


对于Java反序列化漏洞来说,这属于控制数据输入一类。在调用反射机制触发漏洞时,他有两个基本点必须要满足:


1、有一个可序列化的类,并且该类是重写了readObject()方法的(由于不存在代码注入,只能查找已有代码逻辑中是否有这样的类)

2、在重写的readObject()方法的逻辑中有method.invoke函数出现,而且参数可控。



06反射安全

看了上面的内容,我们应该由衷的感叹,Java反射机制实在是太强大了。但是,如果我们对安全有一定意识的话,就会发现Java这个机制强大的似乎有些过头了。


在处理反射时安全性是一个较复杂的问题。反射经常由框架型代码使用,由于这一点,我们可能希望框架能够全面接入代码,无需考虑常规的接入限制。但是,在其它情况下,不受控制的接入会带来严重的安全性风险。


由于这些互相矛盾的需求,Java编程语言定义一种多级别方法来处理反射的安全性。基本模式是对反射实施与应用于源代码接入相同的限制:


1、从任意位置到类公共组件的接入

2、类自身外部无任何私有组件接入

3、受保护和打包(缺省接入)组件的有限接入


相对于C++来说,Java算是比较安全的语言了。这与它们的运行机制有密切的关系,C++运行于本地,也就是说几乎所有程序的权限理论上都是相同的。而Java由于是运行于虚拟机中,而不直接与外部联系,所以实际上Java的运行环境是一个“沙盒”环境。而且作为Java的安全模型,它包括了:字节码验证器、类加载器、安全管理器、访问控制器等一系列的安全组件,所以显得Java的安全机制比较复杂的。




服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1