文章目錄

• 簡介
• 在字符串標準化之后進行校驗
• 注意不可信字符串的格式化
• 小心使用Runtime.exec()
• 正則表達式的匹配

簡介

為了保證java程序的安全，任何外部用戶的輸入我們都認為是可能有惡意攻擊意圖，我們需要對所有的用戶輸入都進行一定程度的校驗。

本文將帶領大家探討一下用戶輸入校驗的一些場景。一起來看看吧。

在字符串標準化之后進行校驗

通常我們在進行字符串校驗的時候需要對一些特殊字符進行過濾，過濾之后再進行字符串的校驗。

我們知道在java中字符是基于Unicode進行編碼的。但是在Unicode中，同一個字符可能有不同的表示形式。所以我們需要對字符進行標準化。

java中有一個專門的類Normalizer來負責處理，字符標準化的問題。

我們看下面一個例子：

public void testNormalizer(){System.out.println(Normalizer.normalize("\u00C1", Normalizer.Form.NFKC));System.out.println(Normalizer.normalize("\u0041\u0301", Normalizer.Form.NFKC));}

輸出結果：

á á

我們可以看到，雖然兩者的Unicode不一樣，但是最終表示的字符是一樣的。所以我們在進行字符驗證的時候，一定要先進行normalize處理。

考慮下面的例子：

public void falseNormalize(){String s = "\uFE64" + "script" + "\uFE65";Pattern pattern = Pattern.compile("[<>]"); // 檢查是否有尖括號Matcher matcher = pattern.matcher(s);if (matcher.find()) {throw new IllegalStateException();}s = Normalizer.normalize(s, Normalizer.Form.NFKC);}

其中\uFE64表示的是<,而\uFE65表示的是>,程序的本意是判斷輸入的字符串是否包含了尖括號，但是因為直接傳入的是unicode字符，所以直接compile是檢測不到的。

我們需要對代碼進行下面的改動：

public void trueNormalize(){String s = "\uFE64" + "script" + "\uFE65";s = Normalizer.normalize(s, Normalizer.Form.NFKC);Pattern pattern = Pattern.compile("[<>]"); // 檢查是否有尖括號Matcher matcher = pattern.matcher(s);if (matcher.find()) {throw new IllegalStateException();}}

先進行normalize操作，然后再進行字符驗證。

注意不可信字符串的格式化

我們經常會使用到格式化來對字符串進行格式化，在格式化的時候如果格式化字符串里面帶有用戶輸入信息，那么我們就要注意了。

看下面的例子：

public void wrongFormat(){Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27);String input=" %1$tm";System.out.format(input + " 時間不匹配，應該是某個月的第 %1$terd 天", c);}

粗看一下沒什么問題，但是我們的input中包含了格式化信息，最后輸出結果：

07 時間不匹配，應該是某個月的第 27rd 天

變相的，我們獲取到了系統內部的信息，在某些情況下面，可能會暴露系統的內部邏輯。

上面的例子我們應該將input也作為一個參數，如下所示：

public void rightFormat(){Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27);String input=" %1$tm";System.out.format("%s 時間不匹配，應該是某個月的第 %terd 天",input, c);}

輸出結果：

%1$tm 時間不匹配，應該是某個月的第 27rd 天

小心使用Runtime.exec()

我們知道Runtime.exec()使用來調用系統命令的，如果有惡意的用戶調用了“rm -rf /”,一切的一切都完蛋了。

所以，我們在調用Runtime.exec()的時候，一定要小心注意檢測用戶的輸入。

看下面的一個例子：

public void wrongExec() throws IOException {String dir = System.getProperty("dir");Runtime rt = Runtime.getRuntime();Process proc = rt.exec(new String[] {"sh", "-c", "ls " + dir});}

上面的例子中，我們從系統屬性中讀取dir，然后執行了系統的ls命令來查看dir中的內容。

如果有惡意用戶給dir賦值成：

/usr & rm -rf /

那么系統實際上執行的命令就是：

sh -c 'ls /usr & rm -rf /'

從而導致惡意的刪除。

解決上面的問題也有幾個方法，第一個方法就是對輸入做個校驗，比如我們只運行dir包含特定的字符：

public void correctExec1() throws IOException {String dir = System.getProperty("dir");if (!Pattern.matches("[0-9A-Za-z@.]+", dir)) {// Handle error}Runtime rt = Runtime.getRuntime();Process proc = rt.exec(new String[] {"sh", "-c", "ls " + dir});}

第二種方法就是使用switch語句，限定特定的輸入：

public void correctExec2(){String dir = System.getProperty("dir");switch (dir){case "/usr":System.out.println("/usr");break;case "/local":System.out.println("/local");break;default:break;}}

還有一種就是不使用Runtime.exec()方法，而是使用java自帶的方法。

正則表達式的匹配

在正則表達式的構建過程中，如果使用用戶自定義輸入，同樣的也需要進行輸入校驗。

考慮下面的正則表達式：

(.*? +public\[\d+\] +.*<SEARCHTEXT>.*)

上面的表達式本意是想在public[1234]這樣的日志信息中，搜索用戶的輸入。

但是用戶實際上可以輸入下面的信息：

.*)|(.*

最終導致正則表達式變成下面的樣子：

(.*? +public\[\d+\] +.*.*)|(.*.*)

從而導致匹配所有的日志信息。

解決方法也有兩個，一個是使用白名單，判斷用戶的輸入。一個是使用Pattern.quote()來對惡意字符進行轉義。

本文的代碼：

learn-java-base-9-to-20/tree/master/security

本文已收錄于 http://www.flydean.com/java-security-code-line-input/

最通俗的解讀，最深刻的干貨，最簡潔的教程，眾多你不知道的小技巧等你來發現！

歡迎關注我的公眾號:「程序那些事」,懂技術，更懂你！

總結

以上是生活随笔為你收集整理的java安全编码指南之:输入校验的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。