沙盒针对Java应用程序中的恶意代码


91

在允许用户提交自己的代码以由服务器运行的模拟服务器环境中,将任何用户提交的代码在沙箱中运行显然是有利的,这与浏览器中的Applet不同。我希望能够利用JVM本身,而不是添加另一个VM层来隔离这些提交的组件。

使用现有的Java沙箱模型似乎可以实现这种限制,但是是否有一种动态的方法可以仅对正在运行的应用程序的用户提交的部分启用此限制?

Answers:


109
  1. 在其自己的线程中运行不受信任的代码。例如,这可以防止无限循环等问题,并使以后的步骤变得更容易。让主线程等待线程完成,如果花费的时间太长,请使用Thread.stop将其杀死。Thread.stop已过时,但由于不受信任的代码不应访问任何资源,因此可以安全地将其杀死。

  2. 在该线程上设置一个SecurityManager。创建一个SecurityManager的子类,该子类重写checkPermission(Permission perm)以简单地为除少数几个之外的所有权限抛出SecurityException。这里有方法和所需权限的列表:Java TM 6 SDK 中的权限

  3. 使用自定义的ClassLoader加载不受信任的代码。您的类加载器将被调用所有不受信任代码使用的类,因此您可以执行诸如禁用对单个JDK类的访问之类的操作。要做的事情是拥有允许的JDK类的白名单。

  4. 您可能要在单独的JVM中运行不受信任的代码。尽管前面的步骤可以确保代码安全,但是隔离的代码仍然可以做一件令人讨厌的事情:分配尽可能多的内存,这将导致主应用程序的可见内存增加。

JSR 121:“应用程序隔离API规范”旨在解决此问题,但不幸的是,该规范尚未实现。

这是一个非常详细的主题,而我大部分时间都是在写这些东西。

但是无论如何,一些不完善的,自己动手使用的风险,可能是错误的(伪)代码:

类加载器

class MyClassLoader extends ClassLoader {
  @Override
  public Class<?> loadClass(String name) throws ClassNotFoundException {
    if (name is white-listed JDK class) return super.loadClass(name);
    return findClass(name);
  }
  @Override
  public Class findClass(String name) {
    byte[] b = loadClassData(name);
    return defineClass(name, b, 0, b.length);
  }
  private byte[] loadClassData(String name) {
    // load the untrusted class data here
  }
}

安全管理器

class MySecurityManager extends SecurityManager {
  private Object secret;
  public MySecurityManager(Object pass) { secret = pass; }
  private void disable(Object pass) {
    if (pass == secret) secret = null;
  }
  // ... override checkXXX method(s) here.
  // Always allow them to succeed when secret==null
}

线

class MyIsolatedThread extends Thread {
  private Object pass = new Object();
  private MyClassLoader loader = new MyClassLoader();
  private MySecurityManager sm = new MySecurityManager(pass);
  public void run() {
    SecurityManager old = System.getSecurityManager();
    System.setSecurityManager(sm);
    runUntrustedCode();
    sm.disable(pass);
    System.setSecurityManager(old);
  }
  private void runUntrustedCode() {
    try {
      // run the custom class's main method for example:
      loader.loadClass("customclassname")
        .getMethod("main", String[].class)
        .invoke(null, new Object[]{...});
    } catch (Throwable t) {}
  }
}

4
该代码可能需要一些工作。您无法真正防范JVM的可用性。准备终止进程(可能自动执行)。代码进入其他线程-例如终结器线程。Thread.stop将导致Java库代码出现问题。同样,Java库代码将需要权限。允许SecurityManager使用 更好java.security.AccessController。类加载器可能还应该允许访问用户代码自己的类。
Tom Hawtin-大头钉

3
考虑到这是一个非常复杂的主题,是否存在以安全的方式处理Java“插件”的现有解决方案?
尼克·史派克

9
这种方法的问题是,将SecurityManager设置为System时,它不仅会影响正在运行的线程,还会影响其他线程!
罗敏麟

2
抱歉,thread.stop()可以被throwable捕获。您可以同时使用(thread.isAlive)Thread.stop(),但随后我可以递归调用捕获异常的函数。在我的PC上进行测试,递归函数胜过stop()。现在您有了一个垃圾线程,在窃取CPU和资源
Lesto

8
除了System.setSecurityManager(…)会影响整个JVM 的事实,不仅是调用该方法的线程,当Java从1.0切换到1.1时,基于线程进行安全性决策的想法也被放弃了。此时,已经认识到,不管哪个线程执行该代码,不受信任的代码都可以调用受信任的代码,反之亦然。任何开发人员都不应重复该错误。
霍尔格

18

显然,这种方案引起了各种安全问题。Java具有严格的安全框架,但它并不简单。拧紧它并让无特权的用户访问重要的系统组件的可能性不容忽视。

除了警告之外,如果您以源代码的形式接受用户输入,那么您需要做的第一件事就是将其编译为Java字节码。AFIAK,这不能在本地完成,因此您需要对javac进行系统调用,并将源代码编译为磁盘上的字节码。是可以用作起点的教程。 编辑:正如我在评论中了解到的那样,您实际上可以使用javax.tools.JavaCompiler从本机编译Java代码

一旦有了JVM字节码,就可以使用ClassLoader的 defineClass函数将其加载到JVM中。要为此加载的类设置安全上下文,您将需要指定ProtectionDomainProtectionDomain的最小构造函数需要CodeSource和PermissionCollection。PermissionCollection是您在这里的主要用途-您可以使用它来指定已加载类具有的确切权限。这些权限最终应由JVM的AccessController强制执行。

这里有很多可能的错误点,在执行任何操作之前,您应格外小心以完全理解所有内容。


2
使用JDK 6的javax.tools API,Java编译非常容易。
艾伦·克鲁格

10

Java的沙箱是用于执行Java代码与一组有限的权限的文库。它可用于仅允许访问一组列入白名单的类和资源。它似乎无法限制对单个方法的访问。它使用带有自定义类加载器和安全管理器的系统来实现此目的。

我没有使用过它,但是它的设计看起来不错,文档也相当合理。

@waqas提供了一个非常有趣的答案,解释了如何实现自己。但是,将这样的安全关键和复杂的代码留给专家更安全。

但是请注意,该项目自2013年以来就没有更新过,创建者将其描述为“实验性”。它的主页已消失,但Source Forge条目仍然存在。

从项目网站改编的示例代码:

SandboxService sandboxService = SandboxServiceImpl.getInstance();

// Configure context 
SandboxContext context = new SandboxContext();
context.addClassForApplicationLoader(getClass().getName());
context.addClassPermission(AccessType.PERMIT, "java.lang.System");

// Whithout this line we get a SandboxException when touching System.out
context.addClassPermission(AccessType.PERMIT, "java.io.PrintStream");

String someValue = "Input value";

class TestEnvironment implements SandboxedEnvironment<String> {
    @Override
    public String execute() throws Exception {
        // This is untrusted code
        System.out.println(someValue);
        return "Output value";
    }
};

// Run code in sandbox. Pass arguments to generated constructor in TestEnvironment.
SandboxedCallResult<String> result = sandboxService.runSandboxed(TestEnvironment.class, 
    context, this, someValue);

System.out.println(result.get());

4

为了解决可接受的答案中的问题,自定义SecurityManager将应用于JVM中的所有线程,而不是基于每个线程,您可以创建一个SecurityManager可针对特定线程启用/禁用的自定义,如下所示:

import java.security.Permission;

public class SelectiveSecurityManager extends SecurityManager {

  private static final ToggleSecurityManagerPermission TOGGLE_PERMISSION = new ToggleSecurityManagerPermission();

  ThreadLocal<Boolean> enabledFlag = null;

  public SelectiveSecurityManager(final boolean enabledByDefault) {

    enabledFlag = new ThreadLocal<Boolean>() {

      @Override
      protected Boolean initialValue() {
        return enabledByDefault;
      }

      @Override
      public void set(Boolean value) {
        SecurityManager securityManager = System.getSecurityManager();
        if (securityManager != null) {
          securityManager.checkPermission(TOGGLE_PERMISSION);
        }
        super.set(value);
      }
    };
  }

  @Override
  public void checkPermission(Permission permission) {
    if (shouldCheck(permission)) {
      super.checkPermission(permission);
    }
  }

  @Override
  public void checkPermission(Permission permission, Object context) {
    if (shouldCheck(permission)) {
      super.checkPermission(permission, context);
    }
  }

  private boolean shouldCheck(Permission permission) {
    return isEnabled() || permission instanceof ToggleSecurityManagerPermission;
  }

  public void enable() {
    enabledFlag.set(true);
  }

  public void disable() {
    enabledFlag.set(false);
  }

  public boolean isEnabled() {
    return enabledFlag.get();
  }

}

ToggleSecurirtyManagerPermission只是java.security.Permission确保仅授权代码可以启用/禁用安全管理器的简单实现。看起来像这样:

import java.security.Permission;

public class ToggleSecurityManagerPermission extends Permission {

  private static final long serialVersionUID = 4812713037565136922L;
  private static final String NAME = "ToggleSecurityManagerPermission";

  public ToggleSecurityManagerPermission() {
    super(NAME);
  }

  @Override
  public boolean implies(Permission permission) {
    return this.equals(permission);
  }

  @Override
  public boolean equals(Object obj) {
    if (obj instanceof ToggleSecurityManagerPermission) {
      return true;
    }
    return false;
  }

  @Override
  public int hashCode() {
    return NAME.hashCode();
  }

  @Override
  public String getActions() {
    return "";
  }

}


非常聪明地使用ThreadLocal来使系统范围的SecurityManager有效地成为线程范围的(大多数用户都想要)。还可以考虑使用InheritableThreadLocal将禁止的属性自动传输到不受信任的代码产生的线程。
尼克

4

提出任何建议或解决方案为时已晚,但是我仍然面临着类似的问题,更多的是面向研究的问题。基本上,我试图为电子学习平台中Java课程的编程作业提供准备和自动评估。

  1. 一种方法是,创建一个单独的虚拟机(不是JVM),但是为每个学生配置具有最低配置OS的实际虚拟机。
  2. 根据您的编程语言,安装JRE for Java或库,无论您希望学生在这些计算机上进行编译和执行。

我知道这听起来很复杂,而且有很多任务,但是Oracle Virtual Box已经提供了Java API来动态创建或克隆虚拟机。 https://www.virtualbox.org/sdkref/index.html(注意,甚至VMware也提供了执行此操作的API)

有关最小大小和配置Linux发行版的信息,您可以在http://www.slitaz.org/en/上参考此文件,

因此,现在,如果学生搞砸或试图做到这一点,可能是内存,文件系统或网络,套接字,那么他最大程度地会损坏自己的虚拟机。

同样,在这些VM的内部,您可以提供其他安全性,例如Java的Sandbox(安全管理器)或在Linux上创建用户特定的帐户,从而限制访问。

希望这可以帮助 !!


3

这是该问题的线程安全解决方案:

https://svn.code.sf.net/p/loggifier/code/trunk/de.unkrig.commons.lang/src/de/unkrig/commons/lang/security/Sandbox.java

package de.unkrig.commons.lang.security;

import java.security.AccessControlContext;
import java.security.Permission;
import java.security.Permissions;
import java.security.ProtectionDomain;
import java.util.Collections;
import java.util.HashMap;
import java.util.Map;
import java.util.WeakHashMap;

import de.unkrig.commons.nullanalysis.Nullable;

/**
 * This class establishes a security manager that confines the permissions for code executed through specific classes,
 * which may be specified by class, class name and/or class loader.
 * <p>
 * To 'execute through a class' means that the execution stack includes the class. E.g., if a method of class {@code A}
 * invokes a method of class {@code B}, which then invokes a method of class {@code C}, and all three classes were
 * previously {@link #confine(Class, Permissions) confined}, then for all actions that are executed by class {@code C}
 * the <i>intersection</i> of the three {@link Permissions} apply.
 * <p>
 * Once the permissions for a class, class name or class loader are confined, they cannot be changed; this prevents any
 * attempts (e.g. of the confined class itself) to release the confinement.
 * <p>
 * Code example:
 * <pre>
 *  Runnable unprivileged = new Runnable() {
 *      public void run() {
 *          System.getProperty("user.dir");
 *      }
 *  };
 *
 *  // Run without confinement.
 *  unprivileged.run(); // Works fine.
 *
 *  // Set the most strict permissions.
 *  Sandbox.confine(unprivileged.getClass(), new Permissions());
 *  unprivileged.run(); // Throws a SecurityException.
 *
 *  // Attempt to change the permissions.
 *  {
 *      Permissions permissions = new Permissions();
 *      permissions.add(new AllPermission());
 *      Sandbox.confine(unprivileged.getClass(), permissions); // Throws a SecurityException.
 *  }
 *  unprivileged.run();
 * </pre>
 */
public final
class Sandbox {

    private Sandbox() {}

    private static final Map<Class<?>, AccessControlContext>
    CHECKED_CLASSES = Collections.synchronizedMap(new WeakHashMap<Class<?>, AccessControlContext>());

    private static final Map<String, AccessControlContext>
    CHECKED_CLASS_NAMES = Collections.synchronizedMap(new HashMap<String, AccessControlContext>());

    private static final Map<ClassLoader, AccessControlContext>
    CHECKED_CLASS_LOADERS = Collections.synchronizedMap(new WeakHashMap<ClassLoader, AccessControlContext>());

    static {

        // Install our custom security manager.
        if (System.getSecurityManager() != null) {
            throw new ExceptionInInitializerError("There's already a security manager set");
        }
        System.setSecurityManager(new SecurityManager() {

            @Override public void
            checkPermission(@Nullable Permission perm) {
                assert perm != null;

                for (Class<?> clasS : this.getClassContext()) {

                    // Check if an ACC was set for the class.
                    {
                        AccessControlContext acc = Sandbox.CHECKED_CLASSES.get(clasS);
                        if (acc != null) acc.checkPermission(perm);
                    }

                    // Check if an ACC was set for the class name.
                    {
                        AccessControlContext acc = Sandbox.CHECKED_CLASS_NAMES.get(clasS.getName());
                        if (acc != null) acc.checkPermission(perm);
                    }

                    // Check if an ACC was set for the class loader.
                    {
                        AccessControlContext acc = Sandbox.CHECKED_CLASS_LOADERS.get(clasS.getClassLoader());
                        if (acc != null) acc.checkPermission(perm);
                    }
                }
            }
        });
    }

    // --------------------------

    /**
     * All future actions that are executed through the given {@code clasS} will be checked against the given {@code
     * accessControlContext}.
     *
     * @throws SecurityException Permissions are already confined for the {@code clasS}
     */
    public static void
    confine(Class<?> clasS, AccessControlContext accessControlContext) {

        if (Sandbox.CHECKED_CLASSES.containsKey(clasS)) {
            throw new SecurityException("Attempt to change the access control context for '" + clasS + "'");
        }

        Sandbox.CHECKED_CLASSES.put(clasS, accessControlContext);
    }

    /**
     * All future actions that are executed through the given {@code clasS} will be checked against the given {@code
     * protectionDomain}.
     *
     * @throws SecurityException Permissions are already confined for the {@code clasS}
     */
    public static void
    confine(Class<?> clasS, ProtectionDomain protectionDomain) {
        Sandbox.confine(
            clasS,
            new AccessControlContext(new ProtectionDomain[] { protectionDomain })
        );
    }

    /**
     * All future actions that are executed through the given {@code clasS} will be checked against the given {@code
     * permissions}.
     *
     * @throws SecurityException Permissions are already confined for the {@code clasS}
     */
    public static void
    confine(Class<?> clasS, Permissions permissions) {
        Sandbox.confine(clasS, new ProtectionDomain(null, permissions));
    }

    // Code for 'CHECKED_CLASS_NAMES' and 'CHECKED_CLASS_LOADERS' omitted here.

}

请评论!

亚诺


By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.