攻击者能够建立一个在开发者意料之外的、不可预测的控制流程,贯穿应用程序始终。
这种形式的攻击能够使得攻击者避开身份鉴定,或者访问控制检测,或者使得应用程序以一种意料之外的方式运行。
如果攻击者能够将文件上传到应用程序的classpath或者添加一个classpath的新入口,那么这将导致应用程序陷入完全的困境。
无论是上面哪种情况,攻击者都能使用反射将新的、多数情况下恶意的行为引入应用程序。
应对措施:
开发者可以定制一份白名单,通过关键字关联需要实例化的类,http请求中传递是不是实际的类名,而是关键字,开发者得到关键字后在白名单中寻找需要的信息,进行实例化。
一开始看到上面的解释我也是感觉比较抽象,很难理解。让我们先看下面这一段代码:
1 public static Map<String, Object> beanToMap(Object obj) {
2
3 if (obj == null) {
4 return null;
5 }
6 Map<String, Object> map = new HashMap<String, Object>();
7 try {
8 BeanInfo beanInfo = Introspector.getBeanInfo(obj.getClass());
9 PropertyDescriptor[] propertyDescriptors = beanInfo.getPropertyDescriptors();
10 for (PropertyDescriptor property : propertyDescriptors) {
11 String key = property.getName();
12 // 过滤class属性
13 if (!key.equals("class")) {
14 // 得到property对应的getter方法
15 Method getter = property.getReadMethod();
16 Object value = getter.invoke(obj);
17 map.put(key, value);
18 }
19
20 }
21 } catch (Exception e) {
22
23 logger.error("transBean2Map Error ", e);
24 }
25 return map;
26 }