写点什么

java 安全编码指南之: 拒绝 Denial of Service

发布于: 2020 年 08 月 27 日
java安全编码指南之:拒绝Denial of Service

简介

DOS不是那个windows的前身,而是Denial of Service,有做过系统安全方面的小伙伴可能对这个再熟悉不过了,简单点讲,DOS就是服务型响应不过来,从而拒绝了正常的服务请求。



今天本文不是要讲怎么发起一个DOS攻击,而是讲一下怎么在java的代码层面尽量减少DOS的可能性。



为什么会有DOS

为什么会有DOS呢?排除恶意攻击的情况下,DOS的原因就是资源的使用不当。一般意义上我们所说的资源有CPU周期,内存,磁盘空间,和文件描述符等。



如果这些资源受到了恶意使用,那么很有可能会影响正常的系统服务响应,从而产生DOS。



怎么在编码层面上,解决DOS问题呢?



不合理的资源使用

如果系统有不合理的资源使用的话,就会造成资源紧缺,从而会产生问题。我们这里举一些不合理使用资源的例子。



请求用于矢量图的SVG文件和字体文件

SVG (全称是 Scalable Vector Graphics) 是一个跟分辨率无关的图形格式。因为SVG是基于XML的,并且保存着大量的复杂路径信息,所以它的体积一般比较大。我们在使用的时候要考虑。



同时如果使用大量的字体文件也会加重系统的资源负担。



字符串或二进制表示的图片转换

图片是一个文件,文件就可以使用二进制来表示,同样的如果我们把二进制进行base64编码就得到了图片的字符串表示。



如果使用过webpack进行前端项目构建的同学应该知道,对于项目中的小图像,一般是将其编码成为字符串直接嵌套在html中的。但是对于大图片,还是保存的原来的格式。



如果我们在后台对字符串或者二进制表示的图片进行转换的时候,可能会需要几倍于原image大小的内存。



看一个imageToBase64的例子:



public String imageToBase64() {
File f = new File("/tmp/abc.jpg");
try {
BufferedImage bi = ImageIO.read(f);
ByteArrayOutputStream baos = new ByteArrayOutputStream();
ImageIO.write(bi, "jpg", baos);
byte[] bytes = baos.toByteArray();

return encoder.encodeBuffer(bytes).trim();
} catch (IOException e) {
e.printStackTrace();
}
return null;
}




zip炸弹

为了提升数据传输的效率,很多时候我们都会使用压缩算法,比如在HTTP中。但是一个压缩过的很小的zip文件,解压之后可能会变得非常非常大。



这里给大家介绍一个非常有名的zip炸弹。



42.zip 是很有名的zip炸弹。它的大小只有42KB,但是解压之后居然有4.5PB之多。



怎么做的呢?



一个zip文件中又包含了16个zip文件,每一个zip文件又包含了16个zip文件,这样循环5次,产生了16的5次方个文件,每个文件的大小是4.3GB,最后导致你的硬盘爆炸了。



感兴趣的朋友可以从http://www.unforgettable.dk/42.zip 下载,自己尝试一下。



怎么避免zip炸弹呢?



第一种做法在解压过程中检测解压过后的文件大小,如果超出一定的限制就结束解压。



另一种做法,就是判断压缩文件中是否还有压缩文件,尽量减少这种压缩套压缩的做法。



billion laughs attack

billion laughs attack是解析XML文件产生的DOS攻击。



先上代码:



<?xml version="1.0"?>
<!DOCTYPE lolz [
<!ENTITY lol "lol">
<!ELEMENT lolz (#PCDATA)>
<!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
<!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
<!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
<!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
<!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
<!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
<!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
<!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>




上面的代码定义了10个entities,每个entity又包含了10个前面定义的entity,从而实现了指数级的字符串增长。最后生成了包含10亿个字符串的xml文件。



一般情况下,我们会将xml放在内存中保存,这么多的字符串最后会耗尽我们的内存,最终导致DOS。



我们可以通过设置 XMLConstants.FEATURE_SECURE_PROCESSING 来防止这种攻击。



hashMap中插入太多相同hashcode的元素

我们知道java中hashMap是用分离链表来处理hash冲突的,如果插入了太多相同hashcode的元素,就会导致这个hashcode对应的链表变得很长,从而查询效率降低,影响程序性能。



正则表达式悲观回溯

什么是悲观回溯呢?



我们举个例子,假如大家对正则表达式已经很熟悉了。



假如我们使用/^(x*)y/ 来和字符串xxxxxxy来进行匹配。/来和字符串xxxxxxy来进行匹配。



匹配之后第一个分组(也就是括号里面的匹配值)是xxxxxx。



如果我们把正则表达式改写为 /^(x*)xy/ 再来和字符串xxxxxxy来进行匹配。 匹配的结果就是xxxxx。



这个过程是怎么样的呢?



首先(x)会尽可能的匹配更多的x,知道遇到字符y。 这时候(x)已经匹配了6个x。



接着正则表达式继续执行(x)之后的xy,发现不能匹配,这时候(x)需要从已经匹配的6个x中,吐出一个x,然后重新执行正则表达式中的xy,发现能够匹配,正则表达式结束。



这个过程就是一个回溯的过程。



如果正则表达式写的不好,那么就有可能会出现悲观回溯。



还是上面的例子,但是这次我们用/^(x*)y$/ 来和字符串xxxxxx来进行匹配。



按照上面的流程,我们知道正则表达式需要进行6次回溯,最后匹配失败。



考虑一些极端的情况,可能会导致回溯一个非常大的次数,从而导致CPU占用率飙升。



序列化和序列化

我们将java对象存进文件或者进行网络传输的时候,都需要使用到序列化和反序列化。



如果我们在对一个java对象进行反序列化的时候,很可能就会加载恶意代码。



因此我们需要在反序列化的时候进行住够的安全控制。



大量的输出日志

通常我们为了调试程序或者寻找问题都会输出大量的日志,如果日志文件太大会影响到磁盘空间的使用。



同时,日志写入操作也会对同一个硬盘上的其他写入操作产生影响。所以日志输出要抓住重点。



无限循环

在使用循环的时候一定要注意,不要产生无限循环的情况。



使用第三方jar包

现代的java程序都会使用第三方jar包,但是第三方jar包的安全性还是需要我们注意的。如果某些第三方jar包中包含有恶意代码,那么会对我们的系统造成非常严重的影响。



Xpath攻击

XPath 解析器是用来解析XML结构的工具,但是在使用XPath 解析器的时候,我们需要注意防止注入攻击。



举个例子:



<users>
<user>
<name>张三</name>
<username>zhangsan</username>
<password>123</password>
</user>
<user>
<name>李四</name>
<username>lisi</username>
<password>456</password>
</user>




如果使用xpath,我们需要这样来验证一个用户是否存在:



//users/user[username/text()='lisi'and password/text()='456']




如果用户传入username = ‘lisi’ 和 password = ‘456’, 那么可以匹配成功,证明用户存在。



但是如果用户输入类似 ‘ or 1=1 or ”=’ 的值,我们看下xpath的解析结果:



//users/user[username/text()=''or 1=1 or ''='' and password/text()='' or 1=1 or ''='']




结果产生和SQL注入一样的结果。



释放所有资源

通常来说,我们在进行文件操作,锁获取操作的的时候会申请相应的资源,在使用完这些资源过后,千万要记得释放他们。



在JDK7 之后,引入了try with表达式,我们可以将要释放的资源放入try语句内,在程序执行完毕,资源会自动释放。



举个例子:



public R readFileBuffered(
InputStreamHandler handler
) throws IOException {
try (final InputStream in = Files.newInputStream(path)) {
handler.handle(new BufferedInputStream(in));
}
}




上面的InputStream会自动释放。



本文已收录于 http://www.flydean.com/java-security-code-line-dos/

最通俗的解读,最深刻的干货,最简洁的教程,众多你不知道的小技巧等你来发现!

欢迎关注我的公众号:「程序那些事」,懂技术,更懂你!



发布于: 2020 年 08 月 27 日阅读数: 65
用户头像

关注公众号:程序那些事,更多精彩等着你! 2020.06.07 加入

最通俗的解读,最深刻的干货,最简洁的教程,众多你不知道的小技巧,尽在公众号:程序那些事!

评论

发布
暂无评论
java安全编码指南之:拒绝Denial of Service