- 综合排序
- 最热优先
- 最新优先
- 来自专栏站长的编程笔记
java 安全沙箱模型详解
起到第一道安全保障作用的双亲委派类加载模型 双亲委派方式的类加载,指的是优先从顶层启动类加载器开始,自顶向下的方式加载类的模型(参见第一条类装载器体系结构)。 这对一些有安全隐患的类起到了安全隔离的作用。使它不能冒充系统类来破坏程序正常运作。 此外,不同的类装载器,也有自己的类装载范围。 jvm类型安全特性 这些都是基础的java语言特性,他们降低了java程序出现内存混乱,崩溃的几率。 结构化内存访问(不使用指针,一定程度上让黑客无法篡改内存数据) 自动垃圾收集 数组边界检查 空引用检查 数据类型安全 Java api的安全管理器 securityManager 这是安全沙箱中,离我们程序员最接近的一环 (只能在一定程度上,提供一些安全性)
1K40编辑于 2022-11-28 - 来自专栏Fin
不懂安全沙箱?看这篇!
在本文中,我们将探讨安全沙箱技术的原理、小程序安全沙箱技术与原生安全沙箱技术的优劣势对比,以及如何评估应用程序的安全性。一、什么是安全沙箱技术? 图片三、小程序安全沙箱技术成为新秀 小程序安全沙箱技术是指在微信或其他小程序平台中运行小程序时,为了保证小程序的安全性和稳定性而采用的一种沙箱技术。 四、小程序安全沙箱技术,相比于Apple iOS安全沙箱的优劣势 小程序安全沙箱技术和Apple iOS安全沙箱技术都是为了保护用户隐私和系统安全而采用的一种安全机制,但是它们也有各自的优劣势。 小程序安全沙箱技术的优势在于: 运行环境轻量化:小程序安全沙箱相比于iOS安全沙箱更轻量化,占用系统资源更少,可以更快速地启动和运行小程序。 Apple iOS安全沙箱技术的优势在于: 安全性更高:iOS安全沙箱技术采用了更加严格的安全策略和机制,可以更好地保护用户隐私和系统安全。
1.3K00编辑于 2023-04-18 - 来自专栏IT技术分享社区
JVM系列(四):沙箱安全机制笔记
今天主要给大家分享JVM的沙箱安全机制笔记,希望对大家能有所帮助! 1、沙箱机制的概念 Java安全模型的核心就是Java沙箱(sandbox)。 2、沙箱的作用 主要限制系统资源(CPU、内存、文件系统、网络)的访问。 不同级别的沙箱对系统资源访问的限制也有差异。 3、本地代码和远程代码 Java的执行程序分为:本地代码和远程代码。 对于授信的本地代码,对于非授信的远程代码在早期的Java实现中,安全依赖于沙箱(Sandbox)机制。 4、沙箱安全机制模型 4.1 JDK1 .0安全模型 JDK1 .0安全模型本地代码可以访问系统资源,远程代码无法访问系统资源,比如用户希望远程代码访问本地系统的文件时候,就无法实现。 5、沙箱安全机制的基本组件 5.1 字节码校验器(bytecode verifier) 确保lava类文件遵循lava语言规范。这样可以帮助Java程序实现内存保护。
2K30编辑于 2022-05-24 - 来自专栏finclip小程序ide
企业应用软件安全防控需要安全沙箱
隔离机制——安全沙箱随着云计算、大数据、物联网等新技术与业务的深度融合,网络安全边界也变得更加模糊,传统边界安全防护理念面临巨大挑战。在这样的背景下,零信任架构应运而生。 事实上从云端到浏览器端,都有一种隔离机制,这种机制就是:安全沙箱。现实中的沙箱,是一种儿童玩具,类如KFC中一个装满小球的容器,儿童可以在随意玩耍,起到保护儿童的作用。(也可以理解为一种安全环境)。 同样在网络技术中也是一种按照安全策略限制程序行为的执行环境。安全沙箱属于浏览器架构层面的安全防护,有了安全沙箱的存在,可以尽可能降低攻击带来的伤害程度。 在凡泰极客,我们认为“小程序化”、“安全沙箱化”是软件安全防控供应链的其中一个基石(重端侧安全防护)。逻辑如下:· 企业的一切业务内容,表现方式就是软件化代码化。 都得被安全沙箱关着才能运行凡泰极客的FinClip小程序安全沙箱技术,是一种云端可控的设备端(包括IoT)安全沙箱技术。它以可分发、可流通的小程序代码格式为软件形态,充当下一代企业应用软件的技术底座。
1.4K00编辑于 2022-10-24 - 来自专栏finclip小程序ide
安全沙箱技术赋能企业共建数字安全生态
三、安全沙箱技术在零信任领域的实践案例虚拟世界的“恶意”代码,也只能用虚拟的“牢笼”去“关住”它。安全沙箱(Security Sandbox),就是这么一种数字牢笼,它的形态和技术实现方式有很多种。 ,一定程度上也可以视为一种在用户态的基于安全能力模型(Capability-based)的沙箱技术。 FinClip是一种新型的轻应用技术,在FinClip安全沙箱中运行的轻应用,选择了兼容互联网主流的小程序规范。企业IT几乎是无缝掌握这个技术,能迅速投入应用。 FinClip的嵌入式安全沙箱,又被称之为小程序容器,它的本质其实是建立在Security Capability model基础上的浏览器内核的扩展其沙箱的特点,体现在三个方面:1、沙箱内小程序之间的隔离 安全沙箱技术的采用,不失为一个短期见效的治标方案,相信早晚会成为企业数字技术安全的标配。
72900编辑于 2022-11-07 - 来自专栏网络安全攻防
JAVA安全之FreeMark沙箱绕过研究
NewBuiltinClassResolver来实现,本篇文章将结合Pwntester 2020年的议题"Room For Escape Scribbling Outside The Lines Of Template"给出相关的沙箱绕过方式 沙箱绕过 2.3.30以下 根据Pwntester 2020年的议题"Room For Escape Scribbling Outside The Lines Of Template"可以发掘两个在2.3.30 以下绕过沙箱的payload: 方式1:绕过class.getClassloader反射加载Execute类 我们可以使用java.security.protectionDomain的getClassLoader )} 在这里我们在原来代码中的便签后插入payload,替换payload中的object为archive插入载荷: 随后访问归档页面即可触发恶意载荷: 方式2:Spring Beans可用时直接禁用沙箱 DefaultMemberAccessPolicy,但是漏洞的防护需要同时配置new-builtin-class-resolver,否则用最开始的payload即可攻击,在这里我们使用上面的沙箱绕过的载荷做一个测试
75820编辑于 2024-11-06 - 来自专栏小游戏开发
前端安全沙箱技术,你了解吗
前端沙箱利用这些特性来实现代码的隔离和限制。 一、什么是小程序沙箱 小程序沙箱是一种用于保护小程序的安全性和稳定性的安全机制,类似于前端沙箱。 小程序沙箱会对小程序的运行环境进行限制,保证小程序不会对系统的其他部分造成影响或损害。 4、安全检测 小程序沙箱可以对小程序的代码进行安全检测,包括代码的合法性、安全性和可靠性等方面。 小程序沙箱会对小程序的代码进行静态和动态分析,发现并处理可能存在的安全隐患。 总之,小程序沙箱的核心目的是保护用户的隐私和安全,保障小程序的稳定性和可靠性。 3、应用程序安全性 小程序沙箱可以对小程序的代码进行安全检测和限制,防止恶意代码的攻击和破坏,从而保护应用程序的安全性和可靠性。 FinClip安全沙箱中运行的轻应用,选择了兼容互联网主流的小程序规范。
76340编辑于 2023-04-19 - 来自专栏腾讯玄武实验室的专栏
IE 沙箱拖拽安全策略解析
作者:王连赢 IE沙箱逃逸是IE浏览器安全研究的一个重要课题,其中有一类漏洞会借助ElevationPolicy设置中的白名单程序的缺陷来完成沙箱逃逸。 在本文中,笔者将以一个攻击者的视角,尝试各种途径来突破IE沙箱的这一安全策略,通过分析所遇到的障碍,达到对IE沙箱拖拽安全策略进行详细解析的目的。 进一步设想,如果我们能够在IE沙箱中通过程序模拟鼠标的拖拽操作,那么就能够利用Explorer的这个问题跨越IE沙箱的安全边界。 DoDragDrop 0x05 IE沙箱对拖拽操作的安全限制 在IE沙箱中,我们是可以直接调到Broker中的函数的。 IE沙箱对拖拽操作进行安全限制的具体位置和实现细节。
2K10发布于 2017-08-15 - 来自专栏Seebug漏洞平台
逃逸安全的模板沙箱(一)——FreeMarker(上)
•Exposed Object 通告中提及了通过模板 API 暴露出大量的可访问对象,而这些对象即为 SSTI 漏洞的入口,通过这些对象的方法或者属性可以进行模板沙箱的绕过。 •RestrictedLiferayObjectWrapper.java 根据介绍,该自定义的ObjectWrapper拓展了FreeMarker的安全沙箱,增强了可通过模板访问的对象,同时也限制了不安全的默认配置以防止实例化任何类 可以看出这是Liferay赋予模板沙箱的主要安全机制。 可以看到,重点在于如何找到暴露出的对象,其次思考如何利用这些对象绕过Liferay的安全机制。 我们在编辑模板时,会看到一个代码提示框。 但该列表会受到沙箱的限制,其中有一部分对象被封禁,无法被调用。 ? 这些便是通过模板 API 暴露出来的一部分对象,但这是以用户视角所看到的,要是我们以运行态的视角去观察呢。 但是,在众多安全研究人员的猛烈进攻下,该安全机制暴露出一个弱点。通过这个弱点可一举击破整个安全机制,从内部瓦解整个防线。而关于这个弱点的阐述及其利用,我们下一篇文章见。
2.9K20发布于 2020-08-26 - 来自专栏Fin
用户隐私安全卫士——小程序沙箱
前端沙箱利用这些特性来实现代码的隔离和限制。一、什么是小程序沙箱小程序沙箱是一种用于保护小程序的安全性和稳定性的安全机制,类似于前端沙箱。 同时,小程序沙箱还可以对小程序的行为进行监控,发现并处理可能存在的安全问题。 小程序沙箱会对小程序的运行环境进行限制,保证小程序不会对系统的其他部分造成影响或损害。4、安全检测 小程序沙箱可以对小程序的代码进行安全检测,包括代码的合法性、安全性和可靠性等方面。 小程序沙箱会对小程序的代码进行静态和动态分析,发现并处理可能存在的安全隐患。总之,小程序沙箱的核心目的是保护用户的隐私和安全,保障小程序的稳定性和可靠性。 3、应用程序安全性 小程序沙箱可以对小程序的代码进行安全检测和限制,防止恶意代码的攻击和破坏,从而保护应用程序的安全性和可靠性。
2.5K50编辑于 2023-04-18 一文读懂啥是安全沙箱技术
在本文中,我们将探讨安全沙箱技术的原理、小程序安全沙箱技术与原生安全沙箱技术的优劣势对比,以及如何评估应用程序的安全性。一、什么是安全沙箱技术? 三、小程序安全沙箱技术成为新秀小程序安全沙箱技术是指在微信或其他小程序平台中运行小程序时,为了保证小程序的安全性和稳定性而采用的一种沙箱技术。 四、小程序安全沙箱技术,相比于Apple iOS安全沙箱的优劣势小程序安全沙箱技术和Apple iOS安全沙箱技术都是为了保护用户隐私和系统安全而采用的一种安全机制,但是它们也有各自的优劣势。 小程序安全沙箱技术的优势在于:运行环境轻量化:小程序安全沙箱相比于iOS安全沙箱更轻量化,占用系统资源更少,可以更快速地启动和运行小程序。 Apple iOS安全沙箱技术的优势在于:安全性更高:iOS安全沙箱技术采用了更加严格的安全策略和机制,可以更好地保护用户隐私和系统安全。
1.7K50编辑于 2023-04-21- 来自专栏前端杂货铺
沙箱
因此,可以采用一种 沙箱模式来管理我们的代码。 该模式创建了一个新的环境变量,所有的变量在该环境内可访问,环境外不可访问(前提是不隐式声明 全局变量如 a=123)。 具体的沙箱模式可以这样实现: 1 function Sandbox(){ 2 if(!
1.8K40发布于 2018-03-15 容器化技术与安全沙箱如何构建云计算安全新范式?
FinClip 通过轻量化的安全沙箱技术,在保障安全的同时,将容器启动时间增加控制在 5% 以内,资源开销降低至 15%,完美平衡了敏捷性与安全性。二、容器化技术与安全沙箱如何实现协同防御? 安全沙箱通过构建独立执行环境,为容器化应用提供 "进程级 + 资源级" 的双重隔离,二者形成 "基础设施层 + 安全增强层" 的立体化防御架构。 FinClip 作为容器化技术与安全沙箱的深度融合平台,在此架构中发挥着关键作用。1. 沙箱技术如何增强容器隔离性?(1)硬件级隔离为何选择 Kata 容器? :FinClip 推出的 Serverless 沙箱解决方案,支持函数级沙箱如 AWS Lambda@Edge 的轻量化沙箱,冷启动时间控制在 10ms 以内,同时提供内存隔离与网络防火墙;通过云原生安全平台实现沙箱策略的自动生成与动态调整 结语:从 "能用" 到 "可信" 的范式跨越容器化技术与安全沙箱的深度融合,正在重塑云计算的安全基因:从早期 "容器化优先、安全后置" 的粗放模式,转向 "安全内生、隔离增强" 的新范式。
35210编辑于 2025-07-08- 来自专栏前端博客
再谈沙箱:前端所涉及的沙箱细讲
渲染进程被沙箱(Sandbox)隔离,网页 web 代码内容必须通过 IPC 通道才能与浏览器内核进程通信,通信过程会进行安全的检查。 JS中沙箱的使用场景前端JS中也会有应用到沙箱的时候,毕竟有时候你要获取到的是第三方的JS文件或数据?而这数据又是不一定可信的时候,创建沙箱,做好保险工作尤为重要。 // 所以我们选择使用传参的形式将 window对象 传入沙箱内 // 此时沙箱内使用window对象的时候,不会再去全局搜索window对象 // 而使用的就是沙箱内部定义的形参 win.itCast 假如传入的代码不是按照的规定的数据格式(例如json),就直接抛出错误,阻止恶意代码注入,但这始终不是一种安全的做法。 参考文章:构建一个安全的 JavaScript 沙箱 https://www.barretlee.com/blog/2016/08/23/javascript-sandbox/写js沙箱原来如此简单 https
2.3K10编辑于 2023-05-07 - 来自专栏企鹅号快讯
NPM酷库:vm2,安全的沙箱环境
通常,我们用vm库来实现一个沙箱,在代码主程序之外执行额外的JS脚本。 而Node.js标准库中的vm是不安全的,用户脚本可以轻易突破沙箱环境,获取主程序的Context! 安全的vm2 vm2就是专门为了解决vm的安全问题而诞生的。 vm2 特性: 运行不受信任的JS脚本 沙箱的终端输出信息完全可控 沙箱内可以受限地加载modules 可以安全地向沙箱间传递callback 死循环攻击免疫 vm2 原理: 首先,vm2基于vm,使用官方的 vm库构建沙箱环境。
2.1K50发布于 2018-01-10 - 来自专栏coding个人笔记
js沙箱
沙箱主要是一种安全机制,把一些不信任的代码运行在沙箱之内,不能访问沙箱之外的代码。比如在线编辑器、执行第三方js、vue服务端渲染等,只要是运行不信任的程序,沙箱隔离就会使用到。 而es6的proxy则可以解决这个问题,proxy可以设置访问拦截器,于是with再加上proxy几乎完美解决js沙箱机制。 这是目前js沙箱能做到的最好的沙箱机制了,很多会再加上iframe去做更多的限制,因为H5提出了iframe的sandbox属性,限制了更多,也可以进行配置解决这些限制。当然,想要绕过方法还是有的。 而nodejs沙箱就很简单了,直接用内部提供的VM Module就可以了。感兴趣可以自己去查一查。 其实沙箱问题很多,解决修复这些方法也很多,感觉就是一堆大佬在博弈。 这边想提一嘴,微前端概念其实就是用js创造一个类似iframe的沙箱,解决隔离问题,分别运行各个项目。所以现在沙箱使用也不一定都是安全机制,也会因为功能需求使用。常见的有快照沙箱和proxy沙箱。
1.5K20发布于 2020-08-28 - 来自专栏finclip小程序ide
零信任嵌入式安全沙箱技术助力企业转型
在凡泰极客,我们认为“小程序化”、“安全沙箱化”是其中一个基石。逻辑如下:企业的一切业务内容,表现方式就是软件化代码化。 用户甚至不再需要去主动意识到“软件”这个概念的强存在,代码都是自动下载、看到就用到的,不再有传统观念下的安装、升级,一切都是透明的通过网络分发传播而下载运行的代码,永远不可信赖,它只能被关在安全沙箱这样的隔离环境里面跑 所以你的代码我只能放在沙箱里跑,我投放到你那边的代码,也用沙箱隔离着你的环境在所谓企业“内网”里,运行的一切软件,也不能保证安全,谁知道代码里面用了什么开源组件、供应链是不是已经被污染、是否随着员工随身设备 都得被安全沙箱关着才能运行凡泰极客的FinClip技术,是一种云端可控的设备端(包括IoT)安全沙箱技术,它以可分发、可流通的小程序代码格式为软件形态,充当下一代企业应用软件的技术底座。 零信任安全架构对传统的边界安全架构模式重 新进行了评估和审视,并对安全架构给出了新的 建设思路。零信任安全防护体系建设并不是一蹴而就的,需要持续改进,不断完善,让我们拭目以待!
69530编辑于 2022-12-01 - 来自专栏梦里茶室
【Chromium中文文档】ChromeChromium沙箱 - 安全架构设计
在这种情况下,沙箱产生的性能影响应该接近零。一旦敏感资源需要以一种控制行为访问时,一点性能损失是必要的。这是在操作系统安全合适事情情况下的常见例子。 仿真不是安全: 仿真和虚拟机方案本身不能提供安全。 沙箱不会出于安全目的,依赖于代码仿真,或者代码转换,或者代码修复。 沙箱windows架构 Windows沙箱是一种仅用户模式可用的沙箱。 拦截器+IPC机制不能提供安全性;它的目的是在沙箱中的代码因沙箱限制不能修改时,提供兼容性。 根据设计,沙箱令牌不能保护下面这些不安全资源: 挂载的FAT或FAT32卷: 它们上面的安全描述符是有效空。 沙箱使用这个API为target进程设置不同的各种策略,以强化安全特性。
3.8K80发布于 2017-12-29 - 来自专栏让技术飞起来
零信任时代安全沙箱成为企业应用必需品
从云端到浏览器端,都有隔离机制,这种机制就是:安全沙箱。图片有理由相信,安全沙箱将无处不在,未来的软件,几乎就没有不跑在某种形态的沙箱之内的。 这就是计算机世界的沙箱。沙箱技术有很多种类,是否能称之为“安全沙箱”,则视乎其隔离的程度和自身的技术目的。 容器类技术,诸如docker、LXC等,有沙箱隔离的特点,但因为共享宿主操作系统的内核,并不提供彻底全模拟的环境,所以往往并不被视为安全沙箱。 都得被安全沙箱关着才能运行例如 FinClip 小程序容器技术,是一种云端可控的设备端(包括IoT)安全沙箱技术,它以可分发、可流通的小程序代码格式为软件形态,充当下一代企业应用软件的技术底座。 “隔离在安全沙箱里”,将是数字化时代的“新常态”。
1.5K30编辑于 2022-10-20 - 来自专栏方球
qiankun proxySand 沙箱
qiankun 内为微应用实现了沙箱机制, 以实现js隔离的目的, 沙箱的重点在于初始化时对全局对象的copy 及代理 使用 const sand = new ProxySand(name) sand.active () // 启动 sand.inacitve() // 关闭 属性 name 沙箱名 type 沙箱类型 Proxy proxy沙箱 Snapshot LegacyProxy 旧沙箱实现 sandboxRunning 沙箱是否运行中 proxy 全局对象的proxy副本, 沙箱实体 active 启动沙箱 inactive 关闭沙箱 实现 沙箱的实现过程都在 constructor 实例的创建中 设置初始值 `); } // 在 strict-mode 下,Proxy 的 handler.set 返回 false 会抛出 TypeError,在沙箱卸载的情况下应该忽略错误 createElement可以知道是由哪个沙箱调用的动态追加补丁程序 if (p === 'document') { // 为document挂载代理对象
2K10发布于 2020-09-28
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号