程序员面试系列之Java单例模式的攻击与防御

最新推荐文章于 2021-05-08 17:38:04 发布
最新推荐文章于 2021-05-08 17:38:04 发布
阅读量73 收藏
点赞数
文章标签: java

我写的程序员面试系列

Java面试系列-webapp文件夹和WebContent文件夹的区别?

程序员面试系列:Spring MVC能响应HTTP请求的原因?

Java程序员面试系列-什么是Java Marker Interface(标记接口)

使用JDK自带的工具jstack找出造成运行程序死锁的原因

编程面试题:编写一个会造成数据库死锁的应用

JavaScript面试系列:JavaScript设计模式之桥接模式和懒加载

使用JavaScript ES6的新特性计算Fibonacci(非波拉契数列)

单例模式在很多Java程序员的眼中,应该是设计模式里最简单的一种了。那么单例模式可能会被攻击,您听说过么?

webp

说到“单例模式被攻击”这个话题,大家最容易想到的可能就是通过序列化/反序列化来攻击单例模式,因为一个对象实例序列化再反序列化后,得到的新的对象虽然各字段内容和原字段一致,然而对象地址和原始对象地址相比已经发生了变化,因此它们是两个不同的对象。

上面的结论完全正确,然而除了序列化/反序列化,单例模式还可能遭受另一种方式的攻击,即反射攻击(Reflection attack)。

看一个具体例子: 


public class JerrySingleton {   private String name;   private JerrySingleton(){
   name = "Jerry";
}private static class SingletonHolder{      private static final JerrySingleton INSTANCE = new JerrySingleton();
}public static JerrySingleton getInstance() {      return SingletonHolder.INSTANCE;
      }
}

webp

上面是一个饿汉式单例。

webp

然而我只需要将这个单例类JerrySingleton的构造函数通过反射设置成可以访问Accessible,然后就能通过反射调用该构造函数,进而生成新的对象实例。这样就破坏了单例模式。 


Class<?> classType = JerrySingleton.class;
Constructor<?> c = classType.getDeclaredConstructor(null);
c.setAccessible(true);
JerrySingleton e1 = (JerrySingleton)c.newInstance();
JerrySingleton e2 = JerrySingleton.getInstance();
System.out.println(e1 == e2);

webp

第6行代码会打印false。

针对这种攻击,一种可行的防御措施是在单例类的构造函数内定义一个布尔变量,初始化为false。当构造函数执行后,该变量被置为true。如果接下来构造函数再次被执行,则人为抛出异常,避免构造函数重复执行。 


public class JerrySingletonImproved {    private static boolean flag = false;    private JerrySingletonImproved(){         synchronized(JerrySingletonImproved.class) {            if(flag == false) {
                  flag = !flag;
            }      else {              throw new RuntimeException("Singleton violated");
      }
  }
}
}

webp

这种防御措施无法从根本上杜绝Singleton被攻击,因为攻击者仍旧可以通过反射来修改布尔变量flag的值,从而绕过这个检查。

最理想的不会受到攻击的单例模式实现是借助Java里枚举类Enumeration的特性:

webp

这种实现类型的单例模式的消费代码:

System.out.println("Name:" + JerrySingletonAnotherApproach.INSTANCE.getName());

如果攻击者通过前面介绍的反射代码对这种实现方式的单例进行攻击,JDK会抛出NoSuchMethodException异常: 

Exception in thread "main" java.lang.NoSuchMethodException: singleton.JerrySingletonAnotherApproach.<init>()
at java.lang.Class.getConstructor0(Class.java:3082)
at java.lang.Class.getDeclaredConstructor(Class.java:2178)
at singleton.SingletonAttack.test3(SingletonAttack.java:31)
at singleton.SingletonAttack.main(SingletonAttack.java:43)

webp

究其原因,是因为现在我们是通过Java枚举方式实现的单例,枚举类没有传统意义上的构造函数,因此对这种反射攻击免疫。

要获取更多Jerry的原创技术文章,请关注公众号"汪子熙"或者扫描下面二维码:


webp

webp


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/24475491/viewspace-2214340/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/24475491/viewspace-2214340/

cnmik42448
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何有效防御xss攻击
{改变自己}
05-23 2011
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结常见的恶意字符XSS输入:1...
Java单例模式(解决反射攻击,反序列化攻击
weixin_45679480的博客
11-27 616
单例模式 什么是单例模式 单例模式就是确保类的实例对象只能有一个,类本身要实例化好这个对象提供给其他所有的类访问。单例模式就是为了避免状态不一致。 单例模式特定 单例类只能有一个实例。 单例类必须自己创建自己的唯一实例。 单例类必须给所有其他对象提供这一实例。 单例模式四大原则 1、构造私有 2、以静态方法或者枚举返回实例 3、确保实例只有一个,尤其是多线程环境 4、确保反序列换时不会重新构建对象 实现单例模式的方式 饿汉式(立即加载) 就是在类加载是就创建一个静态对象私有的对象实例,来提供给外部使用,除非
Java单例---反射攻击破坏单例和解决方法
景川的博客
11-22 4351
之前写过几篇单例的文章: Java单例—双重锁校验详解 Java单例—序列化破坏单例模式原理解析 Java单例—静态内部类 在静态内部类中引出了反射攻击的问题,本篇就来说一下反射攻击,废话不多少说上代码: import java.lang.reflect.Constructor; import java.lang.reflect.InvocationTargetException; public...
单例模式的几种写法与攻击方法
繁星
11-15 191
单例模式的几种写法与攻击方法 饿汉式 /** * 饿汉式 * 这种方式是最简单也最好理解的 * 类加载到内存后,就实例化一个单例,JVM保证线程安全 * 简单实用,推荐使用! * 唯一缺点:不管用到与否,类装载时就完成实例化 * Class.forName("") * (话说你不用的,你装载它干啥) * ---- 解决方法:懒加载 */ public class StaticFinal { /** * JVM保证每个Class只会漏到内存一次 * static修
Java提高篇——单例模式
weixin_33958585的博客
08-02 99
介绍    在我们日常的工作中经常需要在应用程序中保持一个唯一的实例,如:IO处理,数据库操作等,由于这些对象都要占用重要的系统资源,所以我们必须限制这些实例的创建或始终使用一个公用的实例,这就是我们今天要介绍的——单例模式(Singleton)。   单例模式(Singleton Pattern)是 Java 中最简单的设计模式之一。这种类型的设计模式属于创建型模式,它提供了一种创建对象的最...
Java程序员面试题与经验工与总结.docx
01-29
本文总结了 Java 程序员面试中常见的知识点和经验总结,涵盖了 Java 基础、多线程、IO 与 NIO、虚拟机、设计模式、数据结构与算法、计算机网络、操作系统、主流框架、数据存储、分布式系统等方面的知识点。...
程序员面试宝典】Java程序员面试
最新发布
03-02
Java程序员面试是每个Java开发者职业生涯中的重要环节,它既是检验技术实力的方式,也是展示个人学习能力和解决问题能力的舞台。本文将深入探讨Java程序员面试中涉及的一些核心知识点,旨在帮助求职者更好地准备面试...
java 设计模式之单例的实例详解
08-29
单例模式是设计模式中的一种,它旨在控制类的实例化过程,确保在整个应用程序中,一个类只有一个实例存在。这通常适用于那些需要全局访问或共享资源的...因此,深入理解和熟练应用设计模式对于Java程序员来说至关重要。
程序员面试宝典 JAVA
02-11
Java程序员面试宝典》是每位Java开发者在面试前必须研读的重要参考资料,它涵盖了大量实战面试中的核心知识点。这份宝典旨在帮助求职者全面理解并掌握Java编程语言的关键概念和技术,以应对各种面试挑战。以下是...
java程序员面试交流项目经验
04-18
java程序员面试交流项目经验java程序员面试交流项目经验java程序员面试交流项目经验java程序员面试交流项目经验java程序员面试交流项目经验java程序员面试交流项目经验java程序员面试交流项目经验java程序员面试交流...
Java(web)项目安全漏洞及解决方式【面试+工作】
热门推荐
Java帮帮
05-13 2万+
Java(web)项目安全漏洞及解决方式【面试+工作】一.安全性问题层次关系大家经常会听到看到很多很多有关安全性方面的信息,可以说形形色色,对于在网络安全方面不太专业的同志来说,有点眼花缭乱,理不出头绪。在这里,我来帮大家整理一下。  以我个人多年来从事Web安全方面的工作经验及国外一些权威安全机构对Web安全的层次性的理解,我们通常把它分为三个层次:1.网络安全。如防火墙、路由器、网络结构等相关...
设计模式之单例模式(反射攻击
weixin_43689040的博客
12-17 211
模拟反射攻击 饿汉式模拟 饿汉式 public class HungrySingleton implements Serializable { private final static HungrySingleton hungrySingleton; static { hungrySingleton=new HungrySingleton(); } ...
Java单例模式(适合在面试时写)
ToBe_Coder的博客
08-11 2405
面试题中编写单例:  public class Lazy implements Serializable{ /** * 设置默认版本号 */ private static final long serialVersionUID = 1L; //volative禁止指令重排,创建出多个对象--------&gt;涉及到原子性操作问题 private static volati...
java 反射单例类_Java单例---反射攻击单例和解决方法
weixin_29271053的博客
02-16 210
静态内部类中引出了反射攻击的问题import java.lang.reflect.Constructor;import java.lang.reflect.InvocationTargetException;public classTest1 {public static voidmain(String[] args) throws NoSuchMethodException, IllegalAc...
java 反射攻击
specialsun的专栏
06-18 594
  Java反射机制指的是程序在运行时能够获取自身的信息;它能动态截获或改写程序的行为。   1. 单例模式漏洞 /** * 懒汉式单例模式 */ public class Singleton { private static Singleton instance = null; private Singleton() { } public stat...
一文读懂CSRF攻击防御
java爱好者
06-26 304
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 CSRF攻击介绍及防御
Java - Java单例的破坏与防御方法
qq_40286155的博客
08-05 316
1. Java单例实现的三种经典方式 1.1 双重检查锁实现 package create_singal; public class DoubleCheckLockSingleton { private static volatile DoubleCheckLockSingleton instance; private DoubleCheckLockSingleton(){}; public static DoubleCheckLockSingleton getInstan
面试题整理 常见WEB攻击手段及其防御方式
beyond
06-30 2085
常见WEB攻击手段 - XSS (跨站脚本攻击) - DDos 分布式拒绝服务,【发送大量请求,使服务器瘫痪】 - CSRF 跨站请求伪造 【用户本地存储cookie,攻击者利用用户的cookie进行认证,然后伪造用户发出请求】 SQL注入 【通过用户输入,拼接成恶意sql, 并执行】 防御方式 XSS 客服端及服务端用户的输入数据进行双重验证 对所有的数据进行适当的编码 设...
探探JDBC反序列化漏洞
05-08 979
更多精彩内容请关注我的同名公众号:程序员启航 漏洞复现 文章开始,先带大家复现JDBC反序列化漏洞 mysql恶意服务启动代码,如下 # -*- coding:utf-8 -*- import socket import binascii import os import sys import subprocess def receive_data(conn): data = conn.recv(1024) return str(data).lower() def send..
Java程序员面试攻略:算法与开发模式精华15.1
第15章Java编程试题专为Java程序员面试而精心编撰,强调了算法在Java开发中的核心地位。许多开发者误以为Java的丰富API可以掩盖算法的重要性,但事实并非如此。面试官更看重的是应聘者的算法思维和实践能力,尤其是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值