Java反射与安全问题

1.Java反射机制

Java反射机制是指在运行状态中，对于任意一个类，都能够知道这个类的所有属性和方法；对于任意一个对象，都能够调用它的任意一个方法和属性；这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。

反射机制很重要的一点就是“运行时”，其使得我们可以在程序运行时加载、探索以及使用编译期间完全未知的 .class 文件。用一句话总结就是，反射可以实现在运行时可以知道任意一个类的属性和方法。

2.反射机制优点与缺点

刚接触反射的我们可能会有一个疑问，为什么要用反射，直接创建对象他不香吗，这时候就涉及到了Java中动态编译与静态编译的概念，我们简单说一下。

静态编译：在编译时确定好类型，绑定对象。

动态编译：在运行时确定类型，绑定对象。最大限度地发挥了Java的灵活性，体现了多态性，并降低了类之间的耦合性。

优 点：

反射机制可以实现动态创建对象和编译，体现出很大的灵活性，特别是在J2EE的开发者他的灵活性就表现得十分明显。例如，在一个大型软件的开发中，当程序被编译后发布，如果以后需要更新某些功能的时候，我们不可能要用户把以前软件的卸载，再重新安装新的版本。采用静态的话，需要把整个程序重新编译一次才可以实现功能的更新，而采用反射机制的话，它就可以不用卸载，只需要在运行时才动态的创建和编译，就可以实现该功能。

缺 点：

对性能有影响。反射机制其实是一种解释操作，我们通过告诉JVM，我们希望做什么并且他们组我们的要求。这类操作总是慢于只直接执行相同的操作

3.反射机制与反序列化漏洞

反序列化漏洞的关键函数：

writeObject()序列化，将Object输出成Byte流

readObject()反序列化，将Byte流输出成Object

利用反射机制，重写readObject方法，加入能够进行命令执行的函数Runtime.getRuntime()，执行calc.exe命令调出计算器

从上面的反序列化漏洞可以看出，Java反射确实可以访问private的方法和属性，这是绕过第二级安全机制的方法(之一)。它其实是Java本身为了某种目的而留下的类似于“后门”的东西，或者说是为了方便调试。不管如何，它的原理其实是关闭访问安全检查。

总的来说，当我们发现漏洞想让程序实现命令执行的时候有两个方向可以努力

1、控制代码、函数：就像命名注入等注入类漏洞一样数据被当作了代码执行；或者和上面的Demo代码一样重写readObject，加入自定义的代码

2、控制输入、数据、变量：利用代码中已有的函数和逻辑，通过改变输入内容的形态实现流程的控制(不同的输入会走不同的逻辑流程，执行不同的代码块中的代码)

对于Java反序列化漏洞来说，这属于控制数据输入一类。在调用反射机制触发漏洞时，他有两个基本点必须要满足：

1、有一个可序列化的类，并且该类是重写了readObject()方法的(由于不存在代码注入，只能查找已有代码逻辑中是否有这样的类)

2、在重写的readObject()方法的逻辑中有method.invoke函数出现，而且参数可控。

4.反射安全

看了上面的内容，我们应该由衷的感叹，Java反射机制实在是太强大了。但是，如果我们对安全有一定意识的话，就会发现Java这个机制强大的似乎有些过头了。

在处理反射时安全性是一个较复杂的问题。反射经常由框架型代码使用，由于这一点，我们可能希望框架能够全面接入代码，无需考虑常规的接入限制。但是，在其它情况下，不受控制的接入会带来严重的安全性风险。

由于这些互相矛盾的需求，Java编程语言定义一种多级别方法来处理反射的安全性。基本模式是对反射实施与应用于源代码接入相同的限制：

1、从任意位置到类公共组件的接入

2、类自身外部无任何私有组件接入

3、受保护和打包(缺省接入)组件的有限接入

相对于C++来说，Java算是比较安全的语言了。这与它们的运行机制有密切的关系，C++运行于本地，也就是说几乎所有程序的权限理论上都是相同的。而Java由于是运行于虚拟机中，而不直接与外部联系，所以实际上Java的运行环境是一个“沙盒”环境。而且作为Java的安全模型，它包括了：字节码验证器、类加载器、安全管理器、访问控制器等一系列的安全组件，所以显得Java的安全机制比较复杂的。

‍