安全开发规范（五）——输入输出

一、开发安全风险评估

序	开发安全规范	严重性	整改代价	优先级	级别
1	不要使用wrap()或duplicate()创建缓存，并将这些缓存暴露给非受信代码	中	低等	18	1
2	对读取一个字符或者字节的方法，使用int类型的返回值	高	中等	12	1
3	在终止前移除临时文件	中	中等	8	2
4	发现并处理与文件相关的错误	中	高等	4	3
5	不要在受信边界之外记录敏感信息	中	高等	4	3

• 级别：L1高危害、可利用性强、整改代价低；
• L2中危害、可能被利用、整改代价中；
• 优先级：数值越高，越优先修复；
• 来源：Java安全编码标准/朗（Long， F.）等著，第十四章

二、开发安全规范说明

1、不要使用wrap()或duplicate()创建缓存，并将这些缓存暴露给非受信代码

Buffer类定义了一系列的wrap()方法来封装基础数据类型到一个缓存区中，并返回一个Buffer对象来代表这个缓存区。新的缓存区由指定的字符数组来支持，也就是说，对缓存区的修改会导致数值的修改，反之亦然。

将这些数组暴露给非受信的代码，会将其背后的数组也暴露给恶意的修改。同样，duplicate()创建了额外的缓存区，这个缓存区背后是支持原始缓存区的数组。暴露这个额外的缓存区给非受信的代码，同样将其暴露给恶意的修改。

符合规范的示例：
1）使用asReadOnlyBuffer()方法返回一个只读的Buffer；
2）分配一个新的Buffer，将原始数据拷贝进入，然后返回这个新Buffer。

2、对读取一个字符或者字节的方法，使用int类型的返回值

抽象方法InputStream.read()从一个输入源中读取一个简单字节，返回一个范围在0~255的整数，仅当在读取到输入流末尾的时候，它会返回-1。

类似地Reader.read()方法读取一个单独的字符，返回范围在0~65535的整数，仅当在读取到输入流的末尾时，它会返回-1，这两个方法都会被子类覆写。

通常会用这些方法来从一个流中读取一个字节或者字符。遗憾的是：在检查是否已经达到流末尾之前(这通过返回-1来表示)，许多开发者过早地将返回的int类型转换为byte或char类型。

符合规范的示例：

int inbuff;
char data;
while((inbuff=in.read())!=-1){
  data=(char)inbuff;
  //...
}

3、在终止前移除临时文件

开发人员通常在任何人都可以进行写操作的目录（如/tmp/或e:TEMP）中创建临时文件，虽然这些目录中的文件会被定期删除，但在删除前，可访问本地文件系统的攻击者可以操作这些临时文件。

因此，对临时文件的安全管理：
1）给予它们独特和不可预测的文件名。这是一种减少在不安全或者共享目录中创建文件带来风险的一个通用做法。
2）在程序终止之前删除它们。

符合规范的示例是：
1）JAVASE7及以上使用NIO2中Files.createTempFile方法来创建不可预测的文件名；
2）JAVASE7及以上使用try的构造函数和DELETE_ON_CLOSE选项来打开文件，如：

try(BufferedWriter writer = Files.newBufferedWriter(
                                  tempfile,
                                  Charset.forName(“UTF-8”),
                                  StandardOpenOption.DELETE_ON_CLOSE))
{
  // write data
}

4、发现并处理与文件相关的错误

Java的文件操作方法通常使用返回值而不是抛出异常来指示其错误，所以难以得到有用的错误信息（是文件不存在？还是没有权限导致删除失败？）。

忽略文件操作返回值的程序常常不能发现文件操作的失败，会导致意想不到的结果。因此，程序必须要对执行文件I/O方法的返回值进行检查。

符合规范的示例：
1）JAVA SE6：检查delete()的返回值来判断是否删除成功；

File file = new File(args[0]);
if(!file.delete()){
  print("delete failed");
}

2）JAVA SE7及以上：使用java.nio.file.Files.delete()方法删除文件，其可抛出文件不存在、文件是非空目录、无删除权限等异常。

Path file = new File(args[0]).toPath();
try{
  Files.delete(file);
}catch(IOException e){
  // handle Error
}

异常	原因
NoSuchFileException	文件不存在
DirectoryNoEmptyException	文件是一个不为空的目录，所以不能删除
IOException	一个I/O异常产生
SecurityException	在默认的提供器和安全管理器安装的情况下，调用SecurityManager.checkDelete(String)方法检查文件是否有删除访问权限

5、不要在受信边界之外记录敏感信息

对于程序调试、事故响应以及收集错误信息，日志是很重要的。然而，将敏感信息记入日志会带来很多问题，包括会涉及利益相关人隐私、涉及法律对于个人信息收集上的限制，以及将数据暴露给其他人员的潜在危险等。

程序通常支持不同级别的保护：

• 某些信息会被安全的记入日志，如访问次数。
• 某些信息会记入日志，但日志文件不向特定的管理员之外其他人开放。
• 其他的信息，如信用卡号，只能通过加密形式包括在日志文件中。
• 例如像密码这样的信息，完全不能记入日志。