原理
BigDecimal在JAVA中常用于金额的计算。BigDecimal表面上接收了科学计算法的参数然后进行了一个计算,但是没有对精度做校验。如果用户恶意的传入一个极大值,例如1e1111111或1e9999,那么会导致BigDecimal计算时间延迟很大,从而造成系统崩溃。
漏洞实践与修复
public class Test {
public static void main(String[] args) {
String value = "1e99999999";
//数据检查
if (value.contains("1e")) {
log.error("传入数据错误");
} else {
BigDecimal num = new BigDecimal(value);
Long startTime = System.currentTimeMillis();
BigDecimal num1 = new BigDecimal(0.00001);
System.out.println(num1.subtract(num));
Long endTime = System.currentTimeMillis();
Long tempTime = (endTime - startTime);
System.out.println(tempTime);
}
}
}
- 我们可以对传入的数据进行一次格式校验,拦截到科学计数法1ex输入。
- 我们可以将String类型转化为number类型,再转换为BigDecimal类型.
易现点
外部传入的String字符串,直接转化成BigDecimal类型来进行计算。
.