随笔- 13 文章- 0 评论- 2 阅读- 30254

Java代码审计-访问说明符操作 f.setAccessible(true);

★ Java代码说明：

f.setAccessible(true)：1、提高性能2、访问私有private变量的时候

Accessable属性是继承自AccessibleObject 类. 功能是启用或禁用安全检查 （实际上setAccessible是启用和禁用访问安全检查的开关,并不是为true就能访问为false就不能访问的意思）。

　　A、提高性能

　　　　由于JDK的安全检查耗时较多.所以通过setAccessible(true)的方式关闭安全检查就可以达到提升反射速度的目的。使用了method.setAccessible(true)后，性能有了20倍的提升。

　　B、访问私有private变量的时候

　　　　java代码中，常常将一个类的成员变量置为private，在类的外面获取此类的私有成员变量的value时，需要注意setAccessible(true)，否则或报错:can not access a member of.......

　　　　一般情况下，我们并不能对类的私有字段进行操作，利用反射也不例外，但有的时候，例如要序列化的时候，我们又必须有能力去处理这些字段，这时候，我们就需要调用AccessibleObject上的setAccessible()方法来允许这种访问，而由于反射类中的Field，Method和Constructor继承自AccessibleObject，因此，通过在这些类上调用setAccessible()方法，我们可以实现对这些字段的操作。

代码示例：

　　Class cls = object.getClass();

　　Field[] fields = cls.getDeclaredFields();

　　//getDeclaredFields()返回Class中所有的字段，包括私有字段。//getFields  只返回公共字段，即有public修饰的字段。

　　for (Field field : fields) {

　　　　field.setAccessible(true);

　　　　map.put(field.getName(), field.get(object));

　　}

★ 代码审计解释说明：

　　JDK API中的解释：

　　1、AccessibleObject 类是 Field、Method 和 Constructor 对象的基类。它提供了将反射的对象标记为在使用时取消默认 Java 语言访问控制检查的能力。

　　2、对于公共成员、默认（打包）访问成员、受保护成员和私有成员，在分别使用 Field、Method 或 Constructor 对象来设置或获得字段、调用方法，或者创建和初始化类的新实例的时候，会执行访问检查。

　　AccessibleObject类允许程序员绕过由Java访问说明符提供的 访问控制（access control）检查，特别是他让程序员能够允许反射对象绕过 Java access control，并反过来更改私有字段或调用私有方法、行为，这些通常情况下都是不允许的。

　　个人觉得只要Field.setAccessible(true)之后，Class中所有的字段，包括私有字段也可以有访问权限,这样的反射会改变JAVA的结构，

甚至你的代码可维护性，你完全可以改别的代码里面的值，所以通过反射能做一些让你无法想象的东西。最好可以避免这样的设置，以增强代码的安全性，减少其脆弱性及缺陷。

★ 修复建议：

只能使用攻击者无法设置的参数，通过有权限的类更改访问说明符。所有出现的访问说明符都应该仔细检查。

　　私有属性通过反射设置为可公有访问后，要恢复其访问控制:

/**
*获取字段值
*
*@param field
*@param obj
*@return
*/
private static Object getFiledvalue(Field field, object obj) throws IllegalAccessException{
　　//获取原有的访问权限
　　boolean access = field.isAccessible();
　　try{
　　　　//设置可访问的权限
　　　　field.setAccessible(true);
　　　　return field.get(obj);
　　}finally{
　　　　//恢复访问权限
　　　　Field.setAccessible(access)
　　}
}