how to defend against serialization and reflection attack for eager singleton

最新推荐文章于 2024-05-06 09:42:21 发布
最新推荐文章于 2024-05-06 09:42:21 发布
阅读量179 收藏 1
点赞数
分类专栏: 概念模式 文章标签: 设计模式

//为什么要定义构造方法

因为不定义它也会有默认构造方法,而且是public的,不符合单例的设计模式要求

这种eager singleton是线程安全的,因为JVM保证了静态变量只由classloader初始化一次,也因此意味着所有调用getInstance的线程只能得到同一个变量实例

但是这种方法不足以保护其免遭reflection attack,因为反射可以改变私有变量的访问控制符
AccessibleObject.setAccessible(true),应对这种情况就需要这样:

 

public class JavaSingleton {
  private static final JavaSingleton INSTANCE = new JavaSingleton();
  private JavaSingleton() {
    if (INSTANCE != null) {
      throw new IllegalStateException("Inside JavaSingleton(): JavaSingleton " +
                                                        "instance already created.");
    }
    System.out.println("Inside JavaSingleton(): Singleton instance is being created.");
  }
  public static final JavaSingleton getInstance() {
    return INSTANCE;
  }
}
 


同时也不能免遭serialization attack,应对法:
定义所有的实例域为transient,再提供一个readResolve方法,返回现有实例,来保证singleton

见:

http://technonstop.com/java-singleton-reflection-and-lazy-initialization
http://www.chiaocheng.com/blog/2009/07/java-singleton/
http://stackoverflow.com/questions/5735797/is-this-singleton-resistant-to-both-serialization-and-reflection-attacks

bloodnight
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Attack and Defend Computer Security Set
01-15
Attack and Defend Computer Security Set By 作者: Dafydd Stuttard – Marcus Pinto – Michael Hale Ligh – Steven Adair – Blake Hartstein – Ozh ISBN-10 书号: 111890673X ISBN-13 书号: 9781118906736 ...
分散式阻断服务攻击(DDoS):反射式攻击与放大式攻击
每一个不曾起舞的日子,都是对人生的辜负。
10-25 2710
分散式阻断服务攻击(DDoS) 攻击者从远端控制多个傀儡机器同时对受害主机做大量的攻击。 控制指令:加密或隐藏在正常流量中。 DDoS攻击程序范例 Trinoo TFN 反射式攻击与放大式攻击 与DDoS不同,中间系统是未被感染的。反射/放大式攻击利用网络系统正常的功能。 攻击程序: 攻击者送出一个伪造来源IP地址的封包给在某一个服务器上执行的服务。 服务器回复一个封包给伪造IP地址...
一个非常好的反射放大攻击DDoS科普贴
神棍之路
08-06 3266
Amplified reflection attacks are a type of DDoS attack that exploits the connectionless nature of UDPs with spoofed requests to misconfigured open servers on the internet. Amplified reflection at...
设计模式--单例模式(反射)
wBkvam
08-02 759
单例模式 这种模式涉及到一个单一的类,该类负责创建自己的对象,同时确保只有单个对象被创建。这个类提供了一种访问其唯一的对象的方式,可以直接访问,不需要实例化该类的对象。 注意: 单例模式只能有一个实例 单例类必须自己创建自己的唯一实例 单例类必须给所有其他对象提供这一实例 介绍 意图: 保证一个类仅有一个实例,并提供一个访问它的全局访问点。 主要解决: 一个全局使用的类频繁地创建与销毁。 何时使用: 当您想控制实例数目,节省系统资源的时候。 如何解决: 判断系统是否已经有这个单例,如果有则返回,如果没有
How to Defend Against a Database Hit Attack in 10 Minutes or Less
weixin_34128534的博客
12-15 165
The Alibaba Cloud Security team has detected more and more database hit attacks recently. As Big Data sees more and broader application, it would be foolish to discount the sign...
defend_smurf.rar_smurf_smurf attack linux
09-21
smurf攻击检测与防御,使用c语言开发,运行在linux环境,已经经过测试,使用基于状态的防御机制
five-steps-to-defend-against-social-media-weaponization.pdf
08-21
five-steps-to-defend-against-social-media-weaponization.pdf
tv-w06-five-steps-to-defend-against-social-media-weaponization.z
10-25
tv-w06-five-steps-to-defend-against-social-media-weaponization
设计模式:桥接模式
最新发布
玉汝于成
05-06 426
接模式是一种对象结构型模式,它将抽象部分与它的实现部分分离,使它们都可以独立地变化。这种分离允许抽象和实现部分独立地扩展,而不会相互影响。桥接模式基于类的最小设计原则,通过封装、聚合及继承等行为让不同的类承担不同的职责。
设计模式(十):装饰者模式
wenqi1992的博客
04-29 452
装饰者模式的介绍
23种设计模式
weixin_72256328的博客
05-01 991
23种设计模式
设计模式: 工厂模式
m0_59925573的博客
05-02 591
定义一个创建对象的接口,让其子类自己决定实例化哪一个工厂类,工厂模式使其创建过程延迟到子类进行。主要解决接口选择的问题。我们明确地计划不同条件下创建不同实例时。让其子类实现工厂接口,返回的也是一个抽象的产品。创建过程在其子类执行。1、您需要一辆汽车,可以直接从工厂里面提货,而不用去管这辆汽车是怎么做出来的,以及这个汽车里面的具体实现。2、在 Hibernate 中,如果需要更换数据库,工厂模式同样发挥了作用。只需简单地更改方言(Dialect)和数据库驱动(Driver),就能够实现对不同数据库的切换。
【学习vue 3.x】(一)基础内容
m0_74187147的博客
04-30 1616
Vue.js是一套构建用户界面的渐进式框架,采用自底向上增量开发的设计,核心库只关注视图层。另一方面,Vue完全有能力驱动采用单文件组件和Vue生态系统支持的库开发的复杂单页应用。 Vue是一个框架,也是一个生态。可以用不同的方式使用Vue: 无需构建步骤,渐进式增强静态的HTML; 在任何页面中作为Web Components嵌入; 单页应用 (SPA); 全栈/服务端渲染 (SSR); Jamstack/静态站点生成 (SSG); 开发桌面端、移动端、WebGL,甚至是命令行终端中的界面。
设计模式
hummhumm的专栏
05-04 536
单例模式简介。
设计模式之MVC模式
Rcain_R的博客
05-02 1139
MVC(Model-View-Controller)模式是一种软件设计模式,广泛应用于构建用户界面的软件架构中,特别是在Web应用程序开发中。
设计模式】之模板方法模式
小杰不秃头的博客
04-29 1093
今天给大家介绍23种设计模式中的模板方法模式,这个设计模式在Spring框架中还是挺常见的,手写Spring源码的小伙伴必须要掌握的设计模式之一,文章结构还是经典的三连问,是什么?为什么?怎么用?🌈
设计模式学习笔记 - 项目实战三:设计实现一个支持自定义规则的灰度发布组件(实现)
chenjian723122704的专栏
04-30 798
到本章为止,项目实战环节就彻底结束了。在这一部分中,我们通过限流、幂等、灰度这三个实战项目,带你从需求分析、系统设计、代码实现三个环节,学习了如何进行功能性、非功能性需求分析,如何通过合理的设计,完成功能性需求,满足非功能性需求,以及如何编写高质量的代码实现。实际上,项目本身的分析、设计、实现并不重要,不必对细节过于纠结。希望通过这三个例子,分享思考思路、开发套路,让你借鉴并举一反三地应用到你的项目开发中。这才是最有价值的,才是你学习的重点。
go设计模式之组合设计模式
shulu的专栏
04-29 633
将对象组合成树形结构以表示“部分-整体”的层次结构。组合设计模式使得用户对单个对象和组合对象的使用具有一致性。参与者Component为组合中的对象声明接口Leaf在组合中表示叶子节点对象。Composite存储子部件。访问和管理子部件。
3)A digital clock consists of a screen to display the time and a dial for setting in turn the year, month, day, hour and minute. Twisting the dial to the left reduces by one the value being changed but twisting it to the right increases it by one. Pushing the dial alters which value is being adjusted. At first, it is the year but after the dial is pushed once, it is the month, then after the dial is pushed again, it is the day and so on. Imagine the clock is represented by a class with attributes year, month, day etc. The following is what the code for a method rotateDialLeft() might look like. public void rotateDialLeft() { if (mode == YEAR_MODE) { year--; } else if (mode == MONTH_MODE) { month--; } else if (mode == DAY_MODE) { day--; } else if (mode == HOUR_MODE) { hour--; } else if (mode == MINUTE_MODE) { minute--; } } The code for rotateDialRight() is similar. Apply the Open-Closed Principle to explain why the above code is unsatisfactory from the design viewpoint, considering the possibility of future change to the code, giving an example of such a change. 5)Give the code required for the classes introduced in question 3), focusing on the code for a method selectState() which changes the value that is being adjusted from years to months. Make it clear in which classes the code is to be found. Assume the existence of other methods that are needed such as getMonthSetUpState(). 8)Suppose that in a multiplayer role-playing game, a class Client has a dependency to an interface Fighter with public methods attack(), defend() and escape(). The game designer now wishes for Client to use a class Wizard with three different but equivalent public methods castDestructionSpell(), shield() and portal(). Explain how it is possible to do this using an appropriate design pattern.
06-03
In the MonthMode implementation, it switches to the DayMode, in the DayMode implementation, it switches to the HourMode, in the HourMode implementation, it switches to the MinuteMode, and in the ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值