【java_设计模式】单例模式 反序列化攻击

最新推荐文章于 2022-02-15 17:18:05 发布
最新推荐文章于 2022-02-15 17:18:05 发布
阅读量316 收藏
点赞数
分类专栏: Java 设计模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenghan_yang/article/details/90482651
版权

学习路径:https://coding.imooc.com/class/270.html

  • 前言
    无论是【懒汉式】还是【饿汉式】的单例模式,不加以处理,都可以使用序列化和反序列化攻击。

  • 攻击代码

  		HungrySingleton instance = HungrySingleton.getInstance();
  		ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("singleton_file"));
  		// 序列化【写】操作
  		oos.writeObject(instance);
        File file = new File("singleton_file");
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(file));
        // 反序列化【读】操作
        HungrySingleton newInstance = (HungrySingleton) ois.readObject();
        System.out.println(instance);
        System.out.println(newInstance);
        System.out.println(instance == newInstance);
  • 攻击原理

jdk的源码InputStream在读对象的时候,会通过反射生成一个新的对象,而不是拿原来对象的引用。

  • 防御方案
    1.通过jdk的方法定义,告诉jdk该类反序列化的时候不要反射,而要使用自己定义的应用。

     /**
 * 防止反序列化攻击,readResolve是源码中定义的方法名,当且仅当使用这个方法
 * @return
 */
private Object readResolve(){
    return hungrySingleton;
}

    2.使用枚举类的单例实现

    https://blog.csdn.net/chenghan_yang/article/details/90482237

Ch.yang
关注
专栏目录
Java单例模式-反射和反序列化漏洞和解决方案
Roc_Li
06-16 721
问题: 反射可以破解单例模式的实现(不包含枚举单例模式) (可以在构造方法中手动抛出异常控制) 反序列也可以破解单例模式的实现(不包含枚举单例模式) (可以通过定义readResolve()防止获得不同对象 -反序列化时,如果对象所在类定义了readResolve(),实际时一种回调,定义返回哪个对象) 反射破解单例-懒汉式为例 public static void main(String[]...
深入理解java设计模式单例模式
最新发布
忆亦何为的博客
06-12 2034
单例模式确保一个类在应用程序中只有一个对象实例存在,并提供一种全局访问该实例的方式。
java 单例 序列化_单例模式序列化与反序列化实现
weixin_30010599的博客
02-16 282
静态内部类可以达到线程安全问题,但是如果遇到序列化对象时,使用默认的方式运行得到的结果坑你还是多例的。package test;import java.io.ObjectStreamException;import java.io.Serializable;public class MyObject implements Serializable {private static final lon...
java 单例模式 序列化_单例模式序列化与反序列化
weixin_35753431的博客
02-26 149
package com.wz.thread.resolve;import java.io.ObjectStreamException;import java.io.Serializable;/*** 序列化与反序列化* @author Administrator**/public class MyObject implements Serializable {private static fina...
java设计模式单例模式之解决序列化和反射攻击问题
北平~
11-27 417
饿汉式被序列化和反序列化破坏 解决办法: 单例类:实现序列化接口 //实现序列化接口,应对序列化与反序列化破坏单利模式 public class HungrySingleton implements Serializable { private final static HungrySingleton hungrySingleton; static{ hung...
通过序列化和反序列化攻击单例
Buggggggg
02-17 106
import java.io.FileInputStream;import java.io.FileOutputStream;import java.io.ObjectInputStream;import java.io.ObjectOutputStream;public class Test { public static void ma...
Java设计模式单例模式讲解
08-01
入名所示,该文件为最详细的Java单例模式讲解并附有讲解代码。主要讲了单例模式的几种方法,懒汉...饿汉模式和静态内部类模式如何设置能够避免使用反射方法获取多个实列,以及实现了序列化的类如何避免创建多个实列。
单例模式的反射漏洞和反序列化漏洞代码实例
08-26
单例模式的反射漏洞和反序列化漏洞代码实例 单例模式是软件设计模式中一种常用的设计模式,用于限制一个类的实例化次数,确保一个类在整个应用程序中只有一个实例。然而,单例模式存在一些漏洞,例如反射漏洞和反...
java设计模式单例模式学习示例源码,创建单例,配置文件读取
07-31
Java编程领域,设计模式是一种被广泛采用的最佳实践,它为解决常见的软件设计问题提供了标准的解决方案。单例模式是23种经典设计模式之...这些知识点对于理解和应用Java设计模式以及进行有效的资源管理具有重要意义。
单例设计模式_单例设计模式_
10-01
6. 防止序列攻击:如果单例类实现了Serializable接口,那么在反序列化时可能会创建新的实例。为了避免这种情况,可以在类中添加`readResolve()`方法,返回已存在的单例实例。 单例设计模式有其优缺点: 优点: -...
Java - 单例模式的几种实现, 以及反射和反序列化漏洞
飞舞天漄
06-09 182
单例模式的几种实现 package singleton; /** * 单例模式 - 饿汉式 * 特点: 立即加载,调用时效率高 * 原理: 声明为static的变量在类加载时即初始化,jvm加载类不会发生并发问题 * 缺点: 如果不需要用到该类,将造成资源浪费 */ public class SingletonDemo1 { private static SingletonDemo...
避免反射和序列攻击的单例设计模式
weixin_40839342的博客
12-10 234
package com.yf.test.demo; /** * 饿汉式,不支持懒加载 */ public class MyClass1 { private MyClass1(){} private static MyClass1 instance=new MyClass1(); //饿汉式 public static MyClass1 getInstan...
Java设计模式-单例模式
Java硬件工程师的博客
02-08 2176
创建者模式概述 创建型模式的主要关注点是“怎样创建对象?”,它的主要特点是“将对象的创建与使用分离”。 这样可以降低系统的耦合度,使用者不需要关注对象的创建细节。 创建型模式分为: 单例模式 工厂方法模式 抽象工程模式 原型模式 建造者模式 1.单例模式概述 单例模式(Singleton Pattern)是 Java 中最简单的设计模式之一。这种类型的设计模式属于创建型模式,它提供了一种创建对象的最佳方式。 这种模式涉及到一个单一的类,该类负责创建自己的对象,同时确保只有单个对象被创建。这个类提供了一种
剑指offer-例题 栈的压入、弹出序列
qq_39622795的博客
09-28 602
题目描述 输入两个整数序列,第一个序列表示栈的压入顺序,请判断第二个序列是否可能为该栈的弹出顺序。假设压入栈的所有数字均不相等。例如序列1,2,3,4,5是某栈的压入顺序,序列4,5,3,2,1是该压栈序列对应的一个弹出序列,但4,3,5,1,2就不可能是该压栈序列的弹出序列。(注意:这两个序列的长度是相等的) import java.util.ArrayList; import java.util.Stack; public class Solution { public boolean I
Java单例模式(解决反射攻击反序列化攻击
weixin_45679480的博客
11-27 665
单例模式 什么是单例模式 单例模式就是确保类的实例对象只能有一个,类本身要实例化好这个对象提供给其他所有的类访问。单例模式就是为了避免状态不一致。 单例模式特定 单例类只能有一个实例。 单例类必须自己创建自己的唯一实例。 单例类必须给所有其他对象提供这一实例。 单例模式四大原则 1、构造私有 2、以静态方法或者枚举返回实例 3、确保实例只有一个,尤其是多线程环境 4、确保反序列换时不会重新构建对象 实现单例模式的方式 饿汉式(立即加载) 就是在类加载是就创建一个静态对象私有的对象实例,来提供给外部使用,除非
Java设计模式(一):单例模式,防止反射和反序列化漏洞
Happy in Code
05-22 8472
一、懒汉式单例模式,解决反射和反序列化漏洞 package com.iter.devbox.singleton; import java.io.ObjectStreamException; import java.io.Serializable; /** * 懒汉式(如何防止反射和反序列化漏洞) * @author Shearer * */ public class Singleto
【转载】JAVA序列化/反序列化与单例
weixin_33858249的博客
01-22 131
本文转载自http://shift-alt-ctrl.iteye.com/blog/1842040 单例设计类: Java代码 packagecom.test.singleton; importjava.io.IOException; importjava.io.ObjectStreamException;...
Java中的单例模式反序列化解决方案
SeanMiao
08-11 925
一、readResolve()法 首先构造一个可序列化的单例模式类 public class User implements Serializable { private static final User instance=new User(); public String name; public int age; private User()...
Java序列化与反序列化
weixin_45295678的博客
02-15 372
Java序列化与反序列化 一、简介 对于接触过Java的应该都知道对象是怎么回事,它是类的一个实例也可以说是类的一种状态。那我们知道类的存储方式就是一个class文件,那要如何去存储一个对象呢?这就是序列化的存在作用。首先得知道计算机中存储的基本单位字节(Byte),所以得先把对象转为基本单位再存储到计算机上,那么序列化机制就是负责完成这个转换工作。 序列化与反序列研究的是两个相互的过程,也就是java对象和字节间的转换过程。 1.1、定义 序列化就是指把Java对象转换成字节序列的过程; 反序列化就是
Java枚举单例模式详解与反序列化处理
总结起来,枚举单例是一种推荐的实现单例模式的方法,它具有线程安全、代码简洁、防止反射攻击反序列化问题等优点,尤其适用于Android这样的移动开发环境。在设计和实现单例时,应根据实际需求和性能考虑选择最...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值