前言 续着上一篇的笔记,把java安全的命令执行另外的ProcessBuilder和ProcessImpl这部分的笔记也记录一下。通过上一篇的runtime类命令执行的调试笔记,我们也知道,Runtime类下一层就是调用ProcessBuilder类和ProcessImpl类中的方法来操作的,具体的调用关系如下图所示:ProcessBuilder 先简单了解下ProcessBuilder这个类,ProcessBuilder类是J2SE 1.5在java.lang中新添加的一个新类,此类用于创建操作系统进程,它提供一种启动和管...
Java安全之安全加密算法 0x00 前言 本篇文来谈谈关于常见的一些加密算法,其实在此之前,对算法的了解并不是太多。了解的层次只是基于加密算法的一些应用上。也来浅谈一下加密算法在安全领域中的作用。写本篇文也是基于算法的应用和实现,也是我的基本原则,能用就行。 0x01 算法体制 在加密算法里面大致分为四大类:对称加密算法、非对称加密算法、散列函数、组合加密。 对称加密:指的是加密的密钥和解密的密钥相同。 非对称加密...
java导致多线程数据安全问题的原因以多窗口买票为例。多线程操作共享数据存在安全问题。是由于数据操作的原子性被破坏导致的。if语句和之后的operate语句应该具有原子性。没有锁,在if 与 operate 之间可能数据被其他线程修改了。导致数据安全问题。导致原子性丢失的原因有多个,比如线程自己阻塞,cpu资源调度导致线程挂起等。这里原子性导致的数据安全问题,应该与可见性导致的安全问题分开。可见性问题是因为一个线程修改了数据...
“安可“背景下的中国软件开发 在中美当前背景下的安全可靠国产系统(简称安可),安可产业要实现技术自主可控,需要在四个层面逐步实现:基础硬件设施,如芯片、服务器、存储、交换机、路由器;底层软件,包括操作系统、数据库、中间件等;应用软件,面向实际应用的不同领域;安全产品,保障边界安全、终端安全和管理安全产品。目前在安可领域,高端芯片服务器等硬件已能基本满足办公需求;基础软件正在实现国产化替代。而在国产系统...
目录简介使用private final object来作为lock对象不要synchronize可被重用的对象不要sync Object.getClass()不要sync高级并发对象不要使用Instance lock来保护static数据在持有lock期间,不要做耗时操作正确释放锁 简介 在java多线程环境中,lock和同步是我们一定会使用到的功能。那么在java中编写lock和同步相关的代码之后,需要注意哪些问题呢?一起来看看吧。 使用private final object来作为lock对象 一般来说我们在做多线程共...
目录简介一个简单的SensitiveObjectSensitiveObject的限制对SensitiveObject的攻击解决办法 简介 一般来说class中如果包含了私有的或者敏感的数据的时候是不允许被拷贝的。 如果一个class不想被拷贝,我们是不是不提供拷贝的方法就能保证class的安全了呢? 一起来看看吧。 一个简单的SensitiveObject 假如我们有下面的一个SensitiveObject,它的作用就是存储一个password,并且提供了一个修改password的方法: public class Sensit...
目录简介不可变对象的可见性保证共享变量的复合操作的原子性保证多个Atomic原子类操作的原子性保证方法调用链的原子性读写64bits的值 简介 java类中会定义很多变量,有类变量也有实例变量,这些变量在访问的过程中,会遇到一些可见性和原子性的问题。这里我们来详细了解一下怎么避免这些问题。 不可变对象的可见性 不可变对象就是初始化之后不能够被修改的对象,那么是不是类中引入了不可变对象,所有对不可变对象的修改都立马对所...
目录简介初始化顺序循环初始化不要使用java标准库中的类名作为自己的类名不要在增强的for语句中修改变量值 简介 在java对象和字段的初始化过程中会遇到哪些安全性问题呢?一起来看看吧。 初始化顺序 根据JLS(Java Language Specification)中的定义,class在初始化过程中,需要同时初始化class中定义的静态初始化程序和在该类中声明的静态字段(类变量)的初始化程序。 而对于static变量来说,如果static变量被定义为final并且它值...
目录简介可变对象和不可变对象创建mutable对象的拷贝为mutable类创建copy方法不要相信equals不要直接暴露可修改的属性public static fields应该被置位finalpublic static final field 应该是不可变的 简介 mutable(可变)和immutable(不可变)对象是我们在java程序编写的过程中经常会使用到的。 可变类型对象就是说,对象在创建之后,其内部的数据可能会被修改。所以它的安全性没有保证。 而不可变类型对象就是说,对象一旦创建之...
目录简介java平台本身的安全性安全第一,不要写聪明的代码在代码设计之初就考虑安全性避免重复的代码限制权限构建可信边界封装写文档 简介 作为一个程序员,只是写出好用的代码是不够的,我们还需要考虑到程序的安全性。在这个不能跟陌生人说话世界,扶老奶奶过马路都是一件很困难的事情。那么对于程序员来说,尤其是对于开发那种对外可以公开访问的网站的程序员,要承受的压力会大很多。 任何人都可以访问我们的系统,也就意味着如...
什么是反射 反射机制在java中可以说是非常强大的,很多优秀的开源框架都是通过反射完成的。在java的运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法,都能够调用它的任意一个方法和属性,这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。下面介绍下基于反射技术的函数方法。 与反射相关的,其实主要就是几个关键的函数方法。可以先从这一段简单的代码看起 public void execute(String clas...
一、 线程安全1.1 概述在多线程对同一资源并发访问下可能会造成数据的安全问题。线程安全问题都是由全局变量及静态变量引起的。若每个线程中对全局变量、静态变量只有读操作,而无写操作,一般来说,这个全局变量是线程安全的;若有多个线程同时执行写操作,一般都需要考虑线程同步,否则的话就可能影响线程安全。也就是说,我们可以通过考虑线程的同步,来解决线程安全问题。java中提供了线程同步机制(synchronized),为了保证每...
目录Shiro安全框架Shiro概述Shiro概要架构Shiro详细架构Shiro框架认证拦截实现(filter)Shiro基本环境配置添加shiro依赖Shiro核心对象配置Shiro登陆页面呈现服务端Controller实现客户端页面实现Shiro框架认证业务实现认证流程分析认证服务端实现认证核心业务分析DAO接口定义Mapper元素定义Service接口及实现Controller 类实现认证客户端实现异步登陆操作实现退出操作配置实现Shiro框架授权过程实现授权流程分析添加授权配置授权服...
线程同步 当我们使用多个线程访问同一资源的时候,且多个线程中对资源有写的操作,就容易出现线程安全问题。 要解决上述多线程并发访问一个资源的安全性问题,Java中提供了同步机制(synchronized)来解决。 为了保证每个线程都能正常执行原子操作,Java引入了线程同步机制。 那么怎么去使用呢?有三种方式完成同步操作: 1.同步代码块。 2.同步方法。 3.锁机制。(1)同步代码块 synchronized关键字可以用于方法中的某个区块中,表...
线程安全 如果有多个线程在同时运行,而这些线程可能会同时运行这段代码,程序每次运行结果和单线程运行的结果是一样的,而且其他的变量的值也和预期的是一样的,就是线程安全的。即——当多个线程访问某一个类(对象)时,这个类始终都能表现出正确的行为。 卖票案例模拟线程安全问题 【案例描述】电影院要卖票,我们模拟电影院的卖票过程。假设要播放的电影是 “战狼3”,本次电影的座位共100个 (本场电影只能卖100张票)。 我们来...