[Javalist] saját osztály a java.* csomagban
Peter Verhas
peter at verhas.com
2013. Sze. 18., Sze, 17:13:27 CEST
http://mishadoff.github.io/blog/java-magic-part-4-sun-dot-misc-dot-unsafe/
Vigyázat! Nem security expert a szerző! A password kimaszkolós példája hibás!
String password = new String("l00k at myHor$e");
String fake = new String(password.replaceAll(".", "?"));
System.out.println(password); // l00k at myHor$e
System.out.println(fake); // ????????????
Field stringValue = String.class.getDeclaredField("value");
stringValue.setAccessible(true);
char[] mem = (char[]) stringValue.get(password);
getUnsafe().copyMemory(
fake, 0L, null, toAddress(password),
sizeOf(password));
System.out.println(password); // ????????????
System.out.println(fake); // ????????????
System.out.println(mem);
Ez gyönyörűen kiírja a password-öt az utolsó sorban. És ahhoz amit
csinálni akar elég a
reflection is, nem kell az unsafe.
--
Dipl. Ing. Peter Verhas
peter at verhas.ch
skype: verhas
Mobile: +41 79 154 2095
Arbeit: +41 44 239 8450
Quoting "Tamás Cservenák" <tamas at cservenak.net>:
> Par otlet:
> http://www.docjar.com/docs/api/sun/misc/Unsafe.html#defineClass(String,
> byte, int, int)
>
> http://robsjava.blogspot.hu/2013/03/create-java-classes-at-runtime-from.html
>
> http://mishadoff.github.io/blog/java-magic-part-4-sun-dot-misc-dot-unsafe/
>
>
> 2013/9/18 Peter Verhas <peter at verhas.com>
>
>> Tudom, hogy nem lehet, mert Security kivételt dob a class loader, de nem
>> találtam sem a JLS-ben sem a JVM specifikációban.
>>
>> Tudja valaki, hogy ki tiltja meg, hogy oda kerüljön egy osztály?
>>
>> A kérdés úgy merül fel, hogy egy proxy generátort készítek, amelyik egy
>> osztályhoz készít egy proxy osztályt, lefordítja és betölti. Valahogy úgy,
>> mint a cglib, csak
>>
>> - nem bytekódot generálok, hanem forráskódot, és on-the-fly fordítom
>> - nem a proxy létrehozásakor létrejövő ősosztályt proxy-zom, hanem egy már
>> korában létrehozottat
>>
>> A tesztek során egy Object-hez is próbáltam proxy-t létrehozni, de persze
>> nem ment.
>>
>>
>> Dipl. Ing. Peter Verhas
>> peter at verhas.ch
>> skype: verhas
>> Mobile: +41 79 154 2095
>> Arbeit: +41 44 239 8450
>>
>>
>>
>>
>>
>> ------------------------------**------------------------------**----
>> This message was sent using IMP, the Internet Messaging Program.
>> ______________________________**_________________
>> Javalist mailing list
>> Javalist at lists.javaforum.hu
>> http://lists.javaforum.hu/**mailman/listinfo/javalist<http://lists.javaforum.hu/mailman/listinfo/javalist>
>>
>
----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.
További információk a(z) Javalist levelezőlistáról