Java安全基础——文件系统安全

前言:空字节截断漏洞漏洞在诸多编程语言中都存在,究其根本是Java在调用文件系统(C实现)读写文件时导致的漏洞,并不是Java本身的安全问题,不过好在高版本的JDK在处理文件时已经把空字节文件名进行了安全检测处理

1:我们先来熟悉常用的几个操作文件的类

字节流:

FileInputStream:从文件或其他外部源读取数据到jvm内存,一次只读一个字节

FileOutputStream:将jvm内存的数据写入文件或其他外部目标,一次只输出一个字节

BufferedInputStream:字节缓存流,一次读取一个或者指定的字节

BufferedOutputStream:字节缓存流,一次写入一个或者指定的字节

ObjectInputStream:序列化,将对象写入到文件

ObjectOutputStream:反序列化,将文件读取到jvm内存

字符流:

FileReader:从文件或其他外部源读取数据到jvm内存,一次只读一个字节,遇到中文读多个字节

FileWriter:写入在缓冲区中(长度为8192的字节的数组)

BufferedReader:字符缓冲流,特有的方法(readLine)读取一行

BufferedWriter:字符缓冲流,特有的方法(newLine)阔平台换行

InputStreamReader:把字节输入流转换成字符输入流

OutputStreamWriter:把字符输出流转换成字节输出流

2:缓存流的原理

缓存区先向文件中一次读取8192个字节,文件如果没有8192个字节,则有多少装多少,然后利用变量b去往缓冲区进行读取并写到缓冲输出流的缓冲区中,如果缓冲输出流的缓冲区装满了则会自动写入到目的地中,如果关流会检查缓冲区里面有没有数据,然后再把缓冲区的数据写到文件当中,数组是一样的原理

3:完整流程图

4:绕过WAF和RASP的检测

在Java SE中内置了两类文件系统:java.iojava.niojava.nio的实现是sun.nio,文件系统底层的API实现如下图:

如果WAF和RASP只检测了io包下的类,我们可以使用nio包下的类来进行绕过实现

5:JDK1.7.0.25之前的漏洞(空字节截断)

原理:

攻击者上传一个精心构造的文件名,例如:malicious.php\0.jpg。

关键点:这个文件名在Java层看起来是 "malicious.php\0.jpg"。

Java代码进行检查:"malicious.php\0.jpg".endsWith(".jpg") -> true,因为从Java的角度看,这个字符串确实以 .jpg 结尾。安全检查被绕过!

现在,Java代码试图将这个文件保存到磁盘,比如路径是 /uploads/malicious.php\0.jpg。

当Java通过JNI调用系统的 fopen 或 createFile 等C函数时,Java字符串 "/uploads/malicious.php\0.jpg" 被转换为C字符串

在C函数眼中,一旦读到 \0,它就认为路径是 /uploads/malicious.php,而后面的 .jpg 被完全忽略

最终,服务器上保存的不是 malicious.php\0.jpg,而是一个名为 malicious.php 的可执行脚本文件

相关推荐
karry_k4 小时前
MyBatis批量insert-select踩坑:useGeneratedKeys=true 可能让PostgreSQL返回大量插入结果
java·后端
karry_k4 小时前
PostgreSQL 在 MyBatis 中执行正常 SQL 失效:一次 DELETE USING 踩坑记录
java·后端
SamDeepThinking8 小时前
从源码到代码:MyBatis-Flex 与 MyBatis-Plus 的逐项对比
java·后端·程序员
她的男孩11 小时前
Spring Boot 接 Flowable 工作流:用 3 个注解搭一个请假审批流程
java·后端·架构
荣码13 小时前
LLM结构化输出:让AI返回JSON而不是废话,我踩了4个坑
java·python
tntxia14 小时前
网络安全漏洞修复(一)
安全
plainGeekDev14 小时前
Gson → kotlinx.serialization
android·java·kotlin
小bo波1 天前
Java Swing 图形用户界面实验 —— 从算术练习到游戏开发的完整实践
java·课程设计·gui·游戏开发·扫雷·swing