java Applet 数字签证提升权限
2011-11-20 10:03
411 查看
本文描述怎样通过数字签名提升java的访问权限,本文环境:
os:Ubuntu9.10 64b
Firefox:3.5.8 jre环境:JRE 1.6.0_18(64b)
测试java代码和jsp页面代码如下:
Java代码
public class TestApplet extends Applet {
private static final long serialVersionUID = 1L;
private void info(String msg) {
System.out.println(msg);
}
@Override
public void init() {
super.init();
readFile("Linux".equalsIgnoreCase(System.getProperty("os.name")) ? "/etc/hostname" : "c:\\boot.ini");
}
private void readFile(final String filePath) {
info("读取文件:" + filePath);
String text = AccessController.doPrivileged(new PrivilegedAction<String>() {
@Override
public String run() {
StringBuilder buffer = new StringBuilder();
BufferedReader reader = null;
try {
reader = new BufferedReader(new FileReader(filePath));
while(reader.ready()) buffer.append(reader.readLine());
} catch (Exception e) {
throw new IllegalStateException(e);
} finally {
if (reader != null) {
try {
reader.close();
} catch (IOException e) {
e.printStackTrace();
}
}
}
return buffer.toString();
}
});
info("读取结果为:" + text);
}
}
Html代码
<%@ page language="java" pageEncoding="UTF-8"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>
<html>
<body>
<applet id="hh" alt="Applet" width="100" height="100"
code="org.skzr.TestApplet"
archive="skzr-applet-sign.jar"
codebase="<%=basePath %>demo" mayscript>
</applet>
</body>
</html>
因为考虑到大家一般是windows 32位环境所以:导出时使用我的linux64下仅有的32位jdk:jdk1.6.0_14-32
把以上类导出为包:skzr-applet.jar
签名:(使用同一个32位jdk:jdk1.6.0_14-32)
1 创建keystore:
/prog/java/jdk1.6.0_14-32/bin/keytool -genkey -keystore skzr-applet.keystore -alias skzr-applet
2 签名:
/prog/java/jdk1.6.0_14-32/bin/jarsigner -keystore skzr-applet.keystore skzr-applet.jar skzr-applet
把demo放入tomcat的webapps下,打开http://localhost:8080/demo/index.jsp测试
index.jsp里面使用未签名包:skzr-applet.jar在控制台可以发现异常:
java.lang.IllegalStateException: java.security.AccessControlException: access denied (java.io.FilePermission
/etc/hostname read),因为我的是linux所以读取此文件
index.jsp里面使用已签名包:skzr-applet-sign.jar在控制台可以发现正确读取了文件:下面是控制台输出:
Html代码
读取文件:/etc/hostname
读取结果为:skzr
basic: Applet initialized
至此权限提升完毕 ^ ^
firefox 3.5.8
至于Windows下是一样的效果
如果真的签名了,客户端加载运行jar时会出现询问是否信任此签名的提示的!
问题在于,你如果签名了整个applet jar那么每一次重新发布都需要重新签名,比较繁琐,好的办法是,把需要提升权限的打为一个jar,一般这个jar不会经常更改的,签名此jar就可以了,其他的(如界面UI)的jar就算修改了也不需要重新签名的
2 要点:需要提升权限的类一定要放入一个jar包,签名一次即可
3 注意执行需要权限的代码需要一个特殊的方法执行,
AccessController.doPrivileged(...)如果信任此签名,将可以执行此代码
demo.zip (248.8 KB)
下载次数: 332
查看图片附件
os:Ubuntu9.10 64b
Firefox:3.5.8 jre环境:JRE 1.6.0_18(64b)
测试java代码和jsp页面代码如下:
Java代码
public class TestApplet extends Applet {
private static final long serialVersionUID = 1L;
private void info(String msg) {
System.out.println(msg);
}
@Override
public void init() {
super.init();
readFile("Linux".equalsIgnoreCase(System.getProperty("os.name")) ? "/etc/hostname" : "c:\\boot.ini");
}
private void readFile(final String filePath) {
info("读取文件:" + filePath);
String text = AccessController.doPrivileged(new PrivilegedAction<String>() {
@Override
public String run() {
StringBuilder buffer = new StringBuilder();
BufferedReader reader = null;
try {
reader = new BufferedReader(new FileReader(filePath));
while(reader.ready()) buffer.append(reader.readLine());
} catch (Exception e) {
throw new IllegalStateException(e);
} finally {
if (reader != null) {
try {
reader.close();
} catch (IOException e) {
e.printStackTrace();
}
}
}
return buffer.toString();
}
});
info("读取结果为:" + text);
}
}
Html代码
<%@ page language="java" pageEncoding="UTF-8"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>
<html>
<body>
<applet id="hh" alt="Applet" width="100" height="100"
code="org.skzr.TestApplet"
archive="skzr-applet-sign.jar"
codebase="<%=basePath %>demo" mayscript>
</applet>
</body>
</html>
因为考虑到大家一般是windows 32位环境所以:导出时使用我的linux64下仅有的32位jdk:jdk1.6.0_14-32
把以上类导出为包:skzr-applet.jar
签名:(使用同一个32位jdk:jdk1.6.0_14-32)
1 创建keystore:
/prog/java/jdk1.6.0_14-32/bin/keytool -genkey -keystore skzr-applet.keystore -alias skzr-applet
2 签名:
/prog/java/jdk1.6.0_14-32/bin/jarsigner -keystore skzr-applet.keystore skzr-applet.jar skzr-applet
把demo放入tomcat的webapps下,打开http://localhost:8080/demo/index.jsp测试
index.jsp里面使用未签名包:skzr-applet.jar在控制台可以发现异常:
java.lang.IllegalStateException: java.security.AccessControlException: access denied (java.io.FilePermission
/etc/hostname read),因为我的是linux所以读取此文件
index.jsp里面使用已签名包:skzr-applet-sign.jar在控制台可以发现正确读取了文件:下面是控制台输出:
Html代码
读取文件:/etc/hostname
读取结果为:skzr
basic: Applet initialized
至此权限提升完毕 ^ ^
效果图:
google chrome for linuxfirefox 3.5.8
至于Windows下是一样的效果
例子demo
demo.zip其中skzr-applet.jar未签名 skzr-applet-sign.jar是签名后的包
总结:
1 jre的策略文件不需要更改的如果真的签名了,客户端加载运行jar时会出现询问是否信任此签名的提示的!
问题在于,你如果签名了整个applet jar那么每一次重新发布都需要重新签名,比较繁琐,好的办法是,把需要提升权限的打为一个jar,一般这个jar不会经常更改的,签名此jar就可以了,其他的(如界面UI)的jar就算修改了也不需要重新签名的
2 要点:需要提升权限的类一定要放入一个jar包,签名一次即可
3 注意执行需要权限的代码需要一个特殊的方法执行,
AccessController.doPrivileged(...)如果信任此签名,将可以执行此代码
demo.zip (248.8 KB)
下载次数: 332
查看图片附件
相关文章推荐
- Java运行时环境字体解析Applet权限提升漏洞
- JAVA数字签名提升权限
- JAVA数字签名提升权限
- 关于java applet引用第三方jar文件 applet权限的提升 通过网络访问
- Java2下Applet数字签名具体实现方法
- applet 权限无限提升
- Java2下Applet数字签名
- Java2下Applet数字签名具体实现方法
- applet运行java权限设置
- 《Java网络高级编程》读书笔记1——利用JAVA规则文件扩展Applet对硬盘文件的读权限
- Java2下Applet数字签名具体实现方法
- JAVA APPLET读本地文件权限问题及解决办法
- 对Java Applet和Java Web Start进行数字签名
- Java2下Applet数字签名具体实现方法
- Java2下Applet数字签名具体实现方法
- java applet打jar包,以及数字验证
- Java2下Applet数字签名具体实现方法
- JAVA APPLET读本地文件权限问题及解决办法
- Java2下Applet数字签名具体实现方法
- Applet数字签名,授予访问本地资源,读写权限设置