Java代码审计-访问说明符操作 f.setAccessible(true);

 

 Java代码说明:

    f.setAccessible(true)1、提高性能2、访问私有private变量的时候

    Accessable属性是继承自AccessibleObject 类. 功能是启用或禁用安全检查 (实际上setAccessible是启用和禁用访问安全检查的开关,并不是为true就能访问为false就不能访问的意思 )。

 

  A、提高性能

    由于JDK的安全检查耗时较多.所以通过setAccessible(true)的方式关闭安全检查就可以达到提升反射速度的目的 。使用了method.setAccessible(true)后,性能有了20倍的提升。

  B、访问私有private变量的时候

    java代码中,常常将一个类的成员变量置为private,在类的外面获取此类的私有成员变量的value时,需要注意setAccessible(true)否则或报错:can not access a member of.......

    一般情况下,我们并不能对类的私有字段进行操作,利用反射也不例外,但有的时候,例如要序列化的时候,我们又必须有能力去处理这些字段,这时候,我们就需要调用AccessibleObject上的setAccessible()方法来允许这种访问,而由于反射类中的Field,Method和Constructor继承自AccessibleObject,因此,通过在这些类上调用setAccessible()方法,我们可以实现对这些字段的操作。

 

代码示例:

  Class cls = object.getClass();

  Field[] fields = cls.getDeclaredFields();

  //getDeclaredFields()返回Class中所有的字段,包括私有字段。//getFields  只返回公共字段,即有public修饰的字段。

  for (Field field : fields) {

    field.setAccessible(true);

    map.put(field.getName(), field.get(object));

  }

 

 代码审计 解释说明:

  JDK API中的解释 :

  1、AccessibleObject 类是 Field、Method 和 Constructor 对象的基类。它提供了将反射的对象标记为在使用时取消默认 Java 语言访问控制检查的能力。

  2、对于公共成员、默认(打包)访问成员、受保护成员和私有成员,在分别使用 Field、Method 或 Constructor 对象来设置或获得字段、调用方法,或者创建和初始化类的新实例的时候,会执行访问检查。 

  AccessibleObject类 允许程序员绕过 由Java访问说明符提供的 访问控制(access control)检查,特别是他让程序员能够允许 反射对象绕过 Java access control,并反过来更改私有字段或调用私有方法、行为,这些通常情况下都是不允许的

  个人觉得只要Field.setAccessible(true)之后,Class中所有的字段,包括私有字段也可以有访问权限,这样的反射会改变JAVA的结构,

        甚至你的代码可维护性,你完全可以 改别的代码里面的值 ,所以通过反射能做一些让你无法想象的东西。最好可以避免这样的设置,以增强代码的安全性,减少其脆弱性及缺陷。

  

 修复建议:

       只能使用攻击者无法设置的参数,通过有权限的类更改访问说明符。所有出现的访问说明符都应该仔细检查。

  私有属性通过反射设置为可公有访问后,要恢复其访问控制:

/**
*获取字段值
*
*@param field
*@param obj
*@return
*/
private static Object getFiledvalue(Field field, object obj) throws IllegalAccessException{
  //获取原有的访问权限
  boolean access = field.isAccessible();
  try{
    //设置可访问的权限
    field.setAccessible(true);
    return field.get(obj);
  }finally{
    //恢复访问权限
    Field.setAccessible(access)
  }
}

 

 ————————————————

参考文章:

https://www.cnblogs.com/fanguangdexiaoyuer/p/6548171.html 

https://blog.csdn.net/kjfcpua/article/details/8496911 

 

posted @ 2019-08-20 18:54  Jayus_F  阅读(3455)  评论(0编辑  收藏  举报