设计模式_3_单例模式_反射和反序列化的漏洞和解决方案

最新推荐文章于 2020-09-08 10:35:02 发布
最新推荐文章于 2020-09-08 10:35:02 发布
阅读量194 收藏
点赞数
分类专栏: 设计模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Pure_Man_Ben/article/details/100699191
版权

前两篇介绍了创建单例模式的五种方式,而其中有四种(除了枚举)可以通过反射和反序列化破解的。 在这里插入图片描述
通过反射,创建两个不同的对象

package com.cb.study01;

import java.lang.reflect.Constructor;

/*
 * 测试反射和反序列化
 */

public class Client1 {
	
	public static void main(String[] args) throws Exception {
		SingletonDemo06 sd01 = SingletonDemo06.getInstance();
		SingletonDemo06 sd02 = SingletonDemo06.getInstance();
		
		System.out.println(sd01);
		System.out.println(sd02);
		
		Class<SingletonDemo06> clazz = (Class<SingletonDemo06>) Class.forName("com.cb.study01.SingletonDemo06");
		Constructor<SingletonDemo06> c = clazz.getDeclaredConstructor(null);
		//跳过私有的权限检查
		c.setAccessible(true);
		SingletonDemo06 sd03 = c.newInstance();
		SingletonDemo06 sd04 = c.newInstance();
		 
		 System.out.println(sd03);
		 System.out.println(sd04);
	}
	

	
}

运行结果
在这里插入图片描述
防止反射创建不同的对象

package com.cb.study01;
/*
 * 测试懒汉式单例模式(如何防止反射和反序列化漏洞)
 */

public class SingletonDemo06 {
	//类初始化时,不初始化这个对象(延时加载,真正用的时候再创建)。
	private static SingletonDemo06 instance;
	//私有构造器
	private SingletonDemo06(){
		//直接抛出一个异常
		if (instance !=null) {
			throw new RuntimeException();
		}
		
	}
	//方法同步,调用效率低
	public synchronized  static SingletonDemo06 getInstance(){
		if (instance==null) {
			instance = new SingletonDemo06();
		}
		return instance;
	}
}

运行结果:
在这里插入图片描述
通过反射来创建不同的对象,直接抛出异常。

通过反序列化创建多个不同的对象

package com.cb.study01;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;

/*
 * 测试反射
 */

public class Client2 {
	
	public static void main(String[] args) throws Exception {
		SingletonDemo07 sd01 = SingletonDemo07.getInstance();
		SingletonDemo07 sd02 = SingletonDemo07.getInstance();
		
		System.out.println(sd01);
		System.out.println(sd02);
		
		
		//通过反序列的方式构造多个对象 
		FileOutputStream fos = new FileOutputStream("d:a.txt");
		ObjectOutputStream oos = new ObjectOutputStream(fos);
		oos.writeObject(sd01);
		oos.close();
		fos.close();
		
		ObjectInputStream ois = new ObjectInputStream(new FileInputStream("d:a.txt"));
		SingletonDemo07 s3 = (SingletonDemo07)ois.readObject();
		System.out.println(s3);
		
	}
	

	
}

运行结果:
在这里插入图片描述
防止反序列方法 构造多个对象

package com.cb.study01;

import java.io.ObjectStreamException;
import java.io.Serializable;

/*
 * 测试反序列化
 */

public class SingletonDemo07 implements Serializable{
	//类初始化时,不初始化这个对象(延时加载,真正用的时候再创建)。
	private static SingletonDemo07 instance;
	//私有构造器
	private SingletonDemo07(){
		//直接抛出一个异常
		if (instance !=null) {
			throw new RuntimeException();
		}
		
	}
	//方法同步,调用效率低
	public synchronized  static SingletonDemo07 getInstance(){
		if (instance==null) {
			instance = new SingletonDemo07();
		}
		return instance;
	}
	//反序列时,如果定义了readResolve()则直接返回此方法打指定的对象,而不需要单独再创建新 对象
	private Object readResolve() throws ObjectStreamException{
		return instance;
		
	}
}

运行结果:反序列时,如果定义了readResolve()则直接返回此方法打指定的对象,而不需要单独再创建新 对象
在这里插入图片描述

Pure_Man_Ben
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
单例模式反射漏洞反序列化漏洞代码实例
08-26
主要介绍了单例模式反射漏洞反序列化漏洞,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
单例模式反射、序列化漏洞解决方案
勇往直前的专栏
04-03 355
使用反射技术来获取不同的实例,以下是一个简单的饿汉式的单例模式的代码实现: 当我们需要获取Singleton对象的时候,直接调用静态方法getInstance就可以了: 但是学过反射的人都知道,通过反射技术也能获取到一个类的实例对象,即使它的构造函数时私有化的,我们也可以通过暴力访问来调用其构造函数,所以以上测试类的运行结果为: 可以看出通过调用getInstance方法获取到的...
C++的三种访问权限
qq_40776805的博客
09-08 193
1.public 公开 2.private 私有 3.peotected 保护
c++ 设计模式(三)singleton 单例模式
chen
09-07 9813
单例模式的意图:保证一个类只有一个实例,并提供一个访问它的全局节点 使用性:             当类只能一个实例而且客户可以从从一个周所周知的访问点访问它             当这个唯一的实例应该是通过子类化可扩张的,并且客户应该无需修改代码就能使用一个扩展的实例 记住上面这段话,在下面的分析过程我们反复来品味这段话的所表达的意思,融会贯通。 一、什么是单例模式
5中单例模式且防止反射反序列化破解(不针对枚举)并测试效率
weixin_45934066的博客
08-17 157
单例模式 单例模式,顾名思义就是只有一个实例,并且她自己负责创建自己的对象,这个类提供了一种访问其唯一的对象的方式,可以直接访问,不需要实例化该类的对象 核心代码:1构造方法私有化, 2. private static 3.提供一个公共方法 1.饿汉式 饿汉式,从名字上也很好理解,就是“比较勤”,实例在初始化的时候就已经建好了,不管你有没有用到,都先建好了再说。好处是没有线程安全的问题,调用效率高.坏处是浪费内存空间 无法延时加载。 public class SingletonDemo2 { // 类
【C/C++】C++中类访问权限控制
guansir的专栏
01-22 4252
第一:private, public, protected 访问标号的访问范围,在没有继承的情况下:private:只能由1.该类中的函数、2.其友元函数访问。不能被任何其他访问,该类的对象也不能访问。protected:可以被1.该类中的函数、2.子类的函数、以及3.其友元函数访问。但不能被该类的对象访问。public:可以被1.该类中的函数、2.子类的函
gsp.rar_GSP_gsp java_序列模式_序列模式挖掘
09-20
l 根据长度为i 的种子集Li 通过连接操作和剪切操作生成长度为i+1的候选序列模式Ci+1;然后扫描序列数据库,计算每个候选序列模式的支持数,产生长度为i+1的序列模式Li+1,并将Li+1作为新的种子集。 l 重复第二步...
Java序列化反序列化原理及漏洞解决方案
08-18
主要介绍了Java序列化反序列化原理及漏洞解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
XML_img.rar_Form_soap_xml_序列化_序列化和反序列化
09-22
使用SoapFormatter类的序列化和反序列化公共方法实现以XML形式读写图像文件
py_gapbide.zip_python mining_序列模式挖掘
09-23
python实现的BIDE算法,应用于序列模式的挖掘
单例模式之预防反射攻击
03-30 256
单例模式之预防反射攻击
在Java的反射中,Class.forName和ClassLoader的区别
weixin_30600197的博客
06-15 209
前言 最近在面试过程中有被问到,在Java反射中Class.forName()加载类和使用ClassLoader加载类的区别。当时没有想出来后来自己研究了一下就写下来记录一下。 解释 在java中Class.forName()和ClassLoader都可以对类进行加载。ClassLoader就是遵循双亲委派模型最终调用启动类加载器的类加载器,实现的功能是“通过一个类的全限定名来获取描述此类的...
单例模式(多线程不安全,序列化不安全,反射不安全实例)
lv836735240的专栏
11-19 4468
单例模式(多线程不安全,序列化不安全,反射不安全实例)
Java单例模式-反射反序列化漏洞解决方案
Roc_Li
06-16 684
问题: 反射可以破解单例模式的实现(不包含枚举单例模式) (可以在构造方法中手动抛出异常控制) 反序列也可以破解单例模式的实现(不包含枚举单例模式) (可以通过定义readResolve()防止获得不同对象 -反序列化时,如果对象所在类定义了readResolve(),实际时一种回调,定义返回哪个对象) 反射破解单例-懒汉式为例 public static void main(String[]...
计算机毕业设计-校园教务处管理系统.zip
04-23
计算机毕业设计中的校园教务处管理系统是一个旨在提高校园教务管理效率和质量的综合性信息平台。该系统采用SSM(Spring、SpringMVC、MyBatis)技术栈进行构建,利用Spring框架进行业务逻辑处理和依赖注入,通过SpringMVC实现模型-视图-控制器的设计模式,以及使用MyBatis作为ORM工具进行数据库持久化操作。系统功能涵盖了学生信息管理、课程安排、成绩录入与查询、教室资源分配、考试管理、教师工作量统计等关键模块,通过提供一个用户友好的界面和强大的后台管理功能,校园教务处管理系统不仅优化了教务工作流程,还提升了学生和教师的互动体验,是计算机专业学生展示其系统分析、设计和开发能力的理想项目。
一些关于创新创意类的电赛竞赛文档.zip
04-23
一些关于创新创意类的电赛竞赛文档
项目计划管理任务app应用界面xd源文件(1)AdobeXD源码下载设计素材UI设计.xd
最新发布
04-23
项目计划管理任务app应用界面xd源文件(1)AdobeXD源码下载设计素材UI设计
电子商务公共服务平台大数据中心HTML模板源码 大数据大屏展示源码 VUE.zip
04-23
电子商务公共服务平台大数据中心HTML模板源码 大数据大屏展示源码 VUE
序列化和反序列化破坏单例设计模式
09-02
序列化和反序列化可以破坏单例设计模式的安全性。当一个单例类被序列化后,然后再进行反序列化,会创建出一个新的实例,从而破坏了单例的特性。这是因为序列化和反序列化过程中会创建一个新的对象,并不会调用类的构造函数来初始化新对象。因此,即使单例类被序列化和反序列化,也不能保证只有一个实例存在。 为了解决这个问题,可以在单例类中添加一个readResolve方法,并在该方法中返回单例实例。这样,在反序列化时,就可以通过readResolve方法返回已存在的单例实例,而不是创建一个新的实例。通过这种方式,可以确保单例模式的安全性,避免了序列化和反序列化破坏单例的问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [深入浅出单例模式反射与序列化对单例的破坏](https://blog.csdn.net/weixin_43975523/article/details/103140654)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [设计模式|序列化、反序列化对单例的破坏、原因分析、解决方案及解析](https://blog.csdn.net/leo187/article/details/104332138)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值