简介

DOS不是那个windows的前身，而是Denial of Service，有做过系统安全方面的小伙伴可能对这个再熟悉不过了，简单点讲，DOS就是服务型响应不过来，从而拒绝了正常的服务请求。



今天本文不是要讲怎么发起一个DOS攻击，而是讲一下怎么在java的代码层面尽量减少DOS的可能性。



为什么会有DOS

为什么会有DOS呢？排除恶意攻击的情况下，DOS的原因就是资源的使用不当。一般意义上我们所说的资源有CPU周期，内存，磁盘空间，和文件描述符等。



如果这些资源受到了恶意使用，那么很有可能会影响正常的系统服务响应，从而产生DOS。



怎么在编码层面上，解决DOS问题呢？



不合理的资源使用

如果系统有不合理的资源使用的话，就会造成资源紧缺，从而会产生问题。我们这里举一些不合理使用资源的例子。



请求用于矢量图的SVG文件和字体文件

SVG (全称是 Scalable Vector Graphics) 是一个跟分辨率无关的图形格式。因为SVG是基于XML的，并且保存着大量的复杂路径信息，所以它的体积一般比较大。我们在使用的时候要考虑。



同时如果使用大量的字体文件也会加重系统的资源负担。



字符串或二进制表示的图片转换

图片是一个文件，文件就可以使用二进制来表示，同样的如果我们把二进制进行base64编码就得到了图片的字符串表示。



如果使用过webpack进行前端项目构建的同学应该知道，对于项目中的小图像，一般是将其编码成为字符串直接嵌套在html中的。但是对于大图片，还是保存的原来的格式。



如果我们在后台对字符串或者二进制表示的图片进行转换的时候，可能会需要几倍于原image大小的内存。



看一个imageToBase64的例子：



   public String imageToBase64() {
        File f = new File("/tmp/abc.jpg");
        try {
            BufferedImage bi = ImageIO.read(f);
            ByteArrayOutputStream baos = new ByteArrayOutputStream();
            ImageIO.write(bi, "jpg", baos);
            byte[] bytes = baos.toByteArray();

            return encoder.encodeBuffer(bytes).trim();
        } catch (IOException e) {
            e.printStackTrace();
        }
        return null;
    }




zip炸弹

为了提升数据传输的效率，很多时候我们都会使用压缩算法，比如在HTTP中。但是一个压缩过的很小的zip文件，解压之后可能会变得非常非常大。



这里给大家介绍一个非常有名的zip炸弹。



42.zip 是很有名的zip炸弹。它的大小只有42KB，但是解压之后居然有4.5PB之多。



怎么做的呢？



一个zip文件中又包含了16个zip文件，每一个zip文件又包含了16个zip文件，这样循环5次，产生了16的5次方个文件，每个文件的大小是4.3GB，最后导致你的硬盘爆炸了。



感兴趣的朋友可以从http://www.unforgettable.dk/42.zip 下载，自己尝试一下。



怎么避免zip炸弹呢？



第一种做法在解压过程中检测解压过后的文件大小，如果超出一定的限制就结束解压。



另一种做法，就是判断压缩文件中是否还有压缩文件，尽量减少这种压缩套压缩的做法。



billion laughs attack

billion laughs attack是解析XML文件产生的DOS攻击。



先上代码：



<?xml version="1.0"?>
<!DOCTYPE lolz [
 <!ENTITY lol "lol">
 <!ELEMENT lolz (#PCDATA)>
 <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
 <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
 <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
 <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
 <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
 <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
 <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
 <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
 <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>




上面的代码定义了10个entities，每个entity又包含了10个前面定义的entity，从而实现了指数级的字符串增长。最后生成了包含10亿个字符串的xml文件。



一般情况下，我们会将xml放在内存中保存，这么多的字符串最后会耗尽我们的内存，最终导致DOS。



我们可以通过设置 XMLConstants.FEATURE_SECURE_PROCESSING 来防止这种攻击。



hashMap中插入太多相同hashcode的元素

我们知道java中hashMap是用分离链表来处理hash冲突的，如果插入了太多相同hashcode的元素，就会导致这个hashcode对应的链表变得很长，从而查询效率降低，影响程序性能。



正则表达式悲观回溯

什么是悲观回溯呢？



我们举个例子，假如大家对正则表达式已经很熟悉了。



假如我们使用/^(x*)y/ 来和字符串xxxxxxy来进行匹配。/来和字符串xxxxxxy来进行匹配。



匹配之后第一个分组（也就是括号里面的匹配值）是xxxxxx。



如果我们把正则表达式改写为 /^(x*)xy/ 再来和字符串xxxxxxy来进行匹配。 匹配的结果就是xxxxx。



这个过程是怎么样的呢？



首先(x)会尽可能的匹配更多的x，知道遇到字符y。 这时候(x)已经匹配了6个x。



接着正则表达式继续执行(x)之后的xy，发现不能匹配，这时候(x)需要从已经匹配的6个x中，吐出一个x，然后重新执行正则表达式中的xy，发现能够匹配，正则表达式结束。



这个过程就是一个回溯的过程。



如果正则表达式写的不好，那么就有可能会出现悲观回溯。



还是上面的例子，但是这次我们用/^(x*)y$/ 来和字符串xxxxxx来进行匹配。



按照上面的流程，我们知道正则表达式需要进行6次回溯，最后匹配失败。



考虑一些极端的情况，可能会导致回溯一个非常大的次数，从而导致CPU占用率飙升。



序列化和序列化

我们将java对象存进文件或者进行网络传输的时候，都需要使用到序列化和反序列化。



如果我们在对一个java对象进行反序列化的时候，很可能就会加载恶意代码。



因此我们需要在反序列化的时候进行住够的安全控制。



大量的输出日志

通常我们为了调试程序或者寻找问题都会输出大量的日志，如果日志文件太大会影响到磁盘空间的使用。



同时，日志写入操作也会对同一个硬盘上的其他写入操作产生影响。所以日志输出要抓住重点。



无限循环

在使用循环的时候一定要注意，不要产生无限循环的情况。



使用第三方jar包

现代的java程序都会使用第三方jar包，但是第三方jar包的安全性还是需要我们注意的。如果某些第三方jar包中包含有恶意代码，那么会对我们的系统造成非常严重的影响。



Xpath攻击

XPath 解析器是用来解析XML结构的工具，但是在使用XPath 解析器的时候，我们需要注意防止注入攻击。



举个例子：



<users>
     <user>
         <name>张三</name>
         <username>zhangsan</username>
         <password>123</password>
     </user>
     <user>
         <name>李四</name>
         <username>lisi</username>
         <password>456</password>
     </user>




如果使用xpath，我们需要这样来验证一个用户是否存在：



//users/user[username/text()='lisi'and password/text()='456']




如果用户传入username = ‘lisi’ 和 password = ‘456’, 那么可以匹配成功，证明用户存在。



但是如果用户输入类似 ‘ or 1=1 or ”=’ 的值，我们看下xpath的解析结果：



//users/user[username/text()=''or 1=1 or ''='' and password/text()='' or 1=1 or ''='']




结果产生和SQL注入一样的结果。



释放所有资源

通常来说，我们在进行文件操作，锁获取操作的的时候会申请相应的资源，在使用完这些资源过后，千万要记得释放他们。



在JDK7 之后，引入了try with表达式，我们可以将要释放的资源放入try语句内，在程序执行完毕，资源会自动释放。



举个例子：



public R readFileBuffered(
            InputStreamHandler handler
        ) throws IOException {
            try (final InputStream in = Files.newInputStream(path)) {
                handler.handle(new BufferedInputStream(in));
            }
        }




上面的InputStream会自动释放。



本文已收录于 http://www.flydean.com/java-security-code-line-dos/

最通俗的解读，最深刻的干货，最简洁的教程，众多你不知道的小技巧等你来发现！

欢迎关注我的公众号:「程序那些事」,懂技术，更懂你！