当前位置：文江博客话题详情

Java 中可以进行代码注入吗？

发布于 2024-08-14 09:19:11 字数 358 浏览 7 评论 0原文

如今，您可以阅读很多有关代码注入、漏洞利用、缓冲区、堆栈和堆溢出等导致注入和运行代码的内容。我想知道这些内容与 Java 相关。

我知道，Java语言中没有指针。但是 JVM 不是在堆和/或堆栈中组织数据吗？我知道没有 eval 函数（就像在 PHP 中一样），所以你不能轻松地将输入用作 Java 代码。我不太确定字节码级别上发生了什么。

我认为 XSS 是可能的，例如在 Java EE 应用程序中，当没有过滤输入时。但这不是更多的 JavaScript 注入吗？因为注入的代码在浏览器中运行，而不是在 JVM 中运行？

那么哪些代码注入可以用 java 实现，哪些不能呢？对于其他 Java 平台语言来说也是如此吗？

提前致谢。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

此刻的回忆 2024-08-21 09:19:11

java 程序本身几乎不易受到代码注入的攻击。但是，支持该应用程序的所有本机代码都容易受到各种不同类型的代码注入的影响 - 这包括 JVM 以及应用程序或其库中的所有本机代码部分。

另外，还有一些事情需要考虑：

任何使用 java 作为通往其他系统的网关的情况都是可能的：

SQL 注入

XSS（最终只不过是 JavaScript 注入）

如果 java 程序本身就是一个解释器/编译器某种意义上，可以将代码注入到您的解释语言/编译程序中（这包括将您的程序用作java编译器......）

当然，如果您可以让java程序将包含以下内容的文件写入磁盘代码（无论是本机，java还是其他东西），您也许可以通过其他方式执行它（这可能是您的应用程序，操作系统或其他应用程序中的不同漏洞） - 这不是直接代码注入，但与影响。

回复收藏 0 原文

獨角戲 2024-08-21 09:19:11

如果服务器应用程序在运行时创建字节码（例如使用 BCEL 或 Javassist），如果此创建可以受到用户输入的影响，则可以进行代码注入。

但是，如果您的应用程序不使用魔法（这应该是所有应用程序的 99%），则这是不可能的。

回复收藏 0 原文

踏月而来 2024-08-21 09:19:11

有多种方法可以将 Java 代码注入到应用程序中，例如使用脚本 API 或动态 JSP 包含。

下面的代码允许用户将任意 Javascript 注入到 Java 的脚本引擎中。

import javax.script.*;

public class Example1 {
    public static void main(String[] args) {
        try {
            ScriptEngineManager manager = new ScriptEngineManager();
            ScriptEngine engine = manager.getEngineByName("JavaScript");
            System.out.println(args[0]);
            engine.eval("print('"+ args[0] + "')");
        } catch(Exception e) {
            e.printStackTrace();
        }
    }
}

在这种情况下，攻击者决定注入在文件系统上创建文件的代码。

hallo'); var fImport = new JavaImporter(java.io.File); with(fImport) { var f = new File('new'); f.createNewFile(); } //

查看 owasp 网站了解更多示例

There are a couple ways in which Java code could be injected into an application such as using the scripting API or dynamic JSP includes.

The code below allows a user to inject arbitrary Javascript into Java's script engine.

import javax.script.*;

public class Example1 {
    public static void main(String[] args) {
        try {
            ScriptEngineManager manager = new ScriptEngineManager();
            ScriptEngine engine = manager.getEngineByName("JavaScript");
            System.out.println(args[0]);
            engine.eval("print('"+ args[0] + "')");
        } catch(Exception e) {
            e.printStackTrace();
        }
    }
}

In this case, the attacker decides to inject code that creates a file on the file system.

hallo'); var fImport = new JavaImporter(java.io.File); with(fImport) { var f = new File('new'); f.createNewFile(); } //

check owasp website for more examples

回复收藏 0 原文

素食主义者 2024-08-21 09:19:11

您可以编写一个 Web 服务，它接受 Java 代码片段，将其包装在类/方法声明中，将其保存到磁盘，在其上运行编译器，然后动态加载并执行结果。所以代码注入当然是可能的。

但对于典型的 Java 实现，由于相对重量级的编译过程，它可能不是很有效（尽管它对于某些应用程序可能仍然实用）。

代码注入与 SQL 高度相关，因为许多初学者的“第一个猜测”是使用字符串连接将变量插入语句中。但它很少在 Java 程序员中作为一个想法出现。所以这就是人们不太担心的原因。

如果 Java 编译器作为轻量级库服务公开，那么您将拥有更接近于 eval 等价物的东西，因此它可能会开始成为一个相关的问题。

回复收藏 0 原文

笛声青案梦长安 2024-08-21 09:19:11

如果可能的话，Java 早就消亡了。

另一方面，通过使用很容易避免 SQL 注入PreparedStatement 来存储用户控制的输入，使用用于（重新）在网页上显示用户控制的输入。

回复收藏 0 原文

胡大本事 2024-08-21 09:19:11

除非您在服务器上做奇怪的事情（例如动态生成代码等），否则不可能进行代码注入。

尽管我可以想到应用程序根据用户输入动态创建 JSP 的一种（丑陋的）情况。该 JSP 将被转换为 Java 代码，该代码由 Web 容器编译为字节码，然后执行。这可能会引入注入点。但是动态生成 JSP 通常没有任何意义。

回复收藏 0 原文

人心善变 2024-08-21 09:19:11

你不能注入Java。但如果你不小心，人们可能会注入 Javascript（即你提到的 XSS）或 SQL。有堆和栈，但没有办法访问它们。

回复收藏 0 原文

凉栀 2024-08-21 09:19:11

您无法注入 java，但如果输入未正确过滤，所有 Web 应用程序都容易受到 XSS 攻击。此外，任何与 SQL 数据库交互的应用程序都可能容易受到 SQL 注入的攻击。为了避免这种情况，您需要研究参数化查询。

回复收藏 0 原文

无所谓啦 2024-08-21 09:19:11

如果将其与解释语言进行比较，这肯定更困难。然而，JVM 支持 JavaScript 等脚本语言，上面的示例之一演示了 JavaScript 运行时的注入。
JVM 还支持使用 Groovy 编写脚本，这相当于 Java 脚本编写。因此，如果您知道这是在幕后发生的事情，您可以使用类似的东西：

 Class scriptClass = new GroovyClassLoader().parseClass( new File( "test.groovy" ) ) ;

当然，您必须以某种方式在服务器上获取 test.groovy ，这是另一个故事。有关更多详细信息，请参阅此线程：从 Java 调用 Groovy 函数。 Groovy 即时编译为字节代码，并自动加载到 JVM 中。
我见过用 Java 编写的企业应用程序公开了一个脚本 Web 控制台，您可以在其中提供整个 Groovy 文件并在系统仍在运行的情况下执行它......具有管理员权限。它背后使用了 JVM 的脚本功能。您还可以将它与 JavaScript 一起使用。
以下是截至 2020 年 7 月 JVM 支持的脚本语言：

Java
科特林
斯卡拉
格罗维
克洛尤尔
幻影
锡兰
Jython
JRuby
弗雷格
扩展
戈洛
康库纳斯
雪人
有关更多详细信息，请参阅本文。

底线是，Java 中的代码注入并不像其他语言那么容易，尤其是解释型语言，如 JavaScript、Ruby、PHP 等。

It is certainly more difficult, if you compare it to interpreted languages. However, the JVM supports scripting languages like JavaScript, and one of the example above demonstrates injection when JavaScript is at play.
The JVM also supports scripting with Groovy, which is the the Java scripting equivalent. So, if you know that this is what is happening behind the scenes, you can use something similar to this:

 Class scriptClass = new GroovyClassLoader().parseClass( new File( "test.groovy" ) ) ;

Of course, you will have to get test.groovy on the server somehow, which is another story. See this thread for more details: Calling a Groovy function from Java. Groovy compiles to byte code on the fly and it is automatically loaded into the JVM.
I've seen enterprise applications written in Java expose a Scripting Web Console, where you could supply an entire Groovy file and execute it with the system still running ... with Admin privileges. Behind it uses the JVM's scripting capabilities. You could also use it with JavaScript.
Here are the scripting languages supported by the JVM as of July, 2020: