使用 Java 脚本 API 查找并销毁不良/恶意 Java 脚本代码

Question

我正在开发一个 servlet（在 tomcat 上运行），它接收包含 Java 脚本代码的请求，并使用 java 脚本 API 框架评估/运行代码并将答案返回给用户。

由于我们正在处理用户生成的代码，因此该代码可以是好代码，也可以是坏代码。错误代码的一个例子是 while(true);这将在服务器中无休止地循环，占用不必要的资源

我的问题

1）我如何发现错误的代码？ 2）一旦被识别为坏/恶意代码，停止运行的最佳方法是什么？

谢谢

Answer 1

我的问题是：什么算作糟糕的代码？

如果您无法给出什么是坏代码的正式定义，您就不能指望能够检测到它。因为这可能是你的问题的真正含义，所以我将提出我的答案 - 没有办法做到这一点。

即使是看似微不足道的事情，例如程序是否会终止也无法提前确定，我希望任何坏代码的定义都是无法终止的。

因此，在我看来，你有一个主要选择：信任你的用户（或者不信任他们并且不运行任何东西）。

否则，可能工作的方法是在严格的沙箱中运行脚本，如果脚本尚未完成运行，则在适当的时间后终止它。可接受的程度在很大程度上取决于您的具体情况。

Answer 2

你真的是从兔子洞里跳下去了。无法提前确定代码是否属于资源密集型或具有恶意意图。即使是人类也很难做到这一点。话虽如此，您可以采取一些措施来保护自己。

1. 使用 Rhino 而不是 Java 6 的内置 JS 脚本引擎，因为它为您提供了更多选择。
   • 实现监控指令计数的自定义上下文。这使您有机会中断无限循环的脚本。请参阅 Rhino 的 ContextFactory 类
   • 在单独的线程中运行脚本，以便您可以中断陷入等待状态而不会触发上下文的指令计数的脚本
   • 实施安全管理器：请参阅概述、API。这将允许您将脚本限制为仅应与其交互的对象。

我已经在Myna中实现了1,2和3，欢迎您窃取代码

Answer 3

已经有一个工具可以识别“坏”JavaScript，JSLint。显然，坏代码的定义是非常主观的，但 JSLint 提供了广泛的选项，因此您应该能够将其配置为非常接近您对坏代码的定义。

您可以通过上面链接的 Web 表单向 JSLint 提交代码（和配置选项）。还应该可以以编程方式向 JSLint 提交代码（和选项），但如果您打算定期这样做，则应该获得作者的许可。