第88项:保护性地编写readObject方法

最新推荐文章于 2023-12-04 09:40:43 发布
最新推荐文章于 2023-12-04 09:40:43 发布
阅读量478 收藏
点赞数
分类专栏: Effective Java 第三版翻译
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coloured_glaze/article/details/100635745
版权

  第50项介绍了一个不可变的日期范围类,它包含可变的私有Date域。该类通过在其构造器和访问方法(accessor)中保护性地拷贝Date对象,极力地维护其约束条件和不可变性。下面就是这个类:

// Immutable class that uses defensive copying
public final class Period {
    private final Date start;
    private final Date end;
    /**
    * @param start the beginning of the period
    * @param end the end of the period; must not precede start
    * @throws IllegalArgumentException if start is after end
    * @throws NullPointerException if start or end is null
    */
    public Period(Date start, Date end) {
        this.start = new Date(start.getTime());
        this.end = new Date(end.getTime());
        if (this.start.compareTo(this.end) > 0)
            throw new IllegalArgumentException(start + " after " + end);
    }
    public Date start () { return new Date(start.getTime()); }
    public Date end () { return new Date(end.getTime()); }
    public String toString() { return start + " - " + end; }
    ... // Remainder omitted
}

  假设你决定要把这个类做成可序列化的。因为Period对象的物理表示法正好反映了它的逻辑数据内容,所以,使用默认的序列化形式没有什么不合理的(第87项)。因此,为了使这个类成为可序列化的,似乎你所需要做的也就是在类的声明中增加“implements Serializable”字样。然而,如果你真的这样做,那么这个类将不再保证它的关键约束了。

  问题在于,readObject方法实际上相当于另一个公有的构造器,如同其他的构造器一样,它也要求注意同样的所有注意事项。构造器必须检查其参数的有效性(第49项),并且在必要的时候对参数进行保护性拷贝(第50项),同样地,readObject方法也需要这么做。如果readObject方法无法做到这两者之一,对于攻击者来说,要违反这个类的约束条件相对就比较简单了。

  不严格地说,readObject是一个构造函数,它将字节流作为唯一参数。在正常使用中,字节流是通过序列化正常构造的实例生成的。当readObject面对一个人工生成的违反类的约束条件的字节流的时候,问题就出现了,它会生成一个违反类的约束条件的对象。通过这样的字节流可以用来创建一个不可能的对象(impossible object),该对象无法使用普通构造函数创建。

  假设我们只简单地将“implements Serializable”添加到Period的类声明中。然后,这个丑陋的程序将生成一个Period实例,它的结束时间比起始时间还要早。对高位设置的字节值的强制转换是Java缺少字节文字与不幸的决策结合而导致字节类型签名的结果:

public class BogusPeriod {
    // Byte stream couldn't have come from a real Period instance!
    private static final byte[] serializedForm = {
        (byte)0xac, (byte)0xed, 0x00, 0x05, 0x73, 0x72, 0x00, 0x06,
        0x50, 0x65, 0x72, 0x69, 0x6f, 0x64, 0x40, 0x7e, (byte)0xf8,
        0x2b, 0x4f, 0x46, (byte)0xc0, (byte)0xf4, 0x02, 0x00, 0x02,
        0x4c, 0x00, 0x03, 0x65, 0x6e, 0x64, 0x74, 0x00, 0x10, 0x4c,
        0x6a, 0x61, 0x76, 0x61, 0x2f, 0x75, 0x74, 0x69, 0x6c, 0x2f,
        0x44, 0x61, 0x74, 0x65, 0x3b, 0x4c, 0x00, 0x05, 0x73, 0x74,
        0x61, 0x72, 0x74, 0x71, 0x00, 0x7e, 0x00, 0x01, 0x78, 0x70,
        0x73, 0x72, 0x00, 0x0e, 0x6a, 0x61, 0x76, 0x61, 0x2e, 0x75,
        0x74, 0x69, 0x6c, 0x2e, 0x44, 0x61, 0x74, 0x65, 0x68, 0x6a,
        (byte)0x81, 0x01, 0x4b, 0x59, 0x74, 0x19, 0x03, 0x00, 0x00,
        0x78, 0x70, 0x77, 0x08, 0x00, 0x00, 0x00, 0x66, (byte)0xdf,
        0x6e, 0x1e, 0x00, 0x78, 0x73, 0x71, 0x00, 0x7e, 0x00, 0x03,
        0x77, 0x08, 0x00, 0x00, 0x00, (byte)0xd5, 0x17, 0x69, 0x22,
        0x00, 0x78
    };
    public static void main(String[] args) {
        Period p = (Period) deserialize(serializedForm);
        System.out.println(p);
    }
    // Returns the object with the specified serialized form
    static Object deserialize(byte[] sf) {
        try {
            return new ObjectInputStream(new ByteArrayInputStream(sf)).readObject();
        } catch (IOException | ClassNotFoundException e) {
            throw new IllegalArgumentException(e);
        }
    }
}

  被用来初始化SerializableForm的byte数组常量是这样产生的:首先对一个正常的Period实例进行序列化,然后对得到的字节流进行手工编辑。对于这个例子而言,字节流的细节并不重要A片,但是如果你很好奇的话,可以在Java Object Serialization Specification[Serialization, 6]中查到有关序列化字节流格式的描述信息。如果你运行这个程序,它就会打印出“Fri Jan 01 12:00:00 PST 1999 - Sun Jan 01 12:00:00 PST 1984”。只要把Period声明成可序列化的,就会使我们创建出违反其约束条件的对象。

  为了修正这个问题,你可以为Period提供一个readObject方法,该方法首先调用defaultReadObject,然后检查被反序列化之后的对象的有效性。如果有效性检查失败,readObject方法就抛出一个InvalidObjectExceptio异常,防止完成序列化:

// readObject method with validity checking - insufficient!
private void readObject(ObjectInputStream s) throws IOException, ClassNotFoundException {
    s.defaultReadObject();
    // Check that our invariants are satisfied
    if (start.compareTo(end) > 0)
        throw new InvalidObjectException(start +" after "+ end);
}

  尽管这样的修正避免了攻击者创建无效的Period实例,但是,这里仍然隐藏着一个更为微妙的问题。通过伪造字节流,要想创建可变的Period实例仍然是有可能的,做法是:字节流以一个有效地Period实例开头,然后附加上两个额外的引用,指向Period实例中的两个私有的Date域。攻击者从ObjectInputStream中读取Period实例,然后读取附加在其后面的“恶意编制的对象引用”。这些对象引用使得攻击者能够访问到Period对象内部的私有Date域所引用的对象。通过改变这些Date实例,攻击者可以改变Period实例。下面的类演示了这种攻击:

public class MutablePeriod {
    // A period instance
    public final Period period;
    // period's start field, to which we shouldn't have access
    public final Date start;
    // period's end field, to which we shouldn't have access
    public final Date end;
    public MutablePeriod() {
        try {
            ByteArrayOutputStream bos = new ByteArrayOutputStream();
            ObjectOutputStream out = new ObjectOutputStream(bos);
            // Serialize a valid Period instance
            out.writeObject(new Period(new Date(), new Date()));
            /*
            * Append rogue "previous object refs" for internal
            * Date fields in Period. For details, see "Java
            * Object Serialization Specification," Section 6.4.
            */
            byte[] ref = { 0x71, 0, 0x7e, 0, 5 }; // Ref #5
            bos.write(ref); // The start field
            ref[4] = 4; // Ref # 4
            bos.write(ref); // The end field
            // Deserialize Period and "stolen" Date references
            ObjectInputStream in = new ObjectInputStream(new ByteArrayInputStream(bos.toByteArray()));
            period = (Period) in.readObject();
            start = (Date) in.readObject();
            end = (Date) in.readObject();
        } catch (IOException | ClassNotFoundException e) {
            throw new AssertionError(e);
        }
    }
}

  要查看攻击的结果,请运行以下程序:

public static void main(String[] args) {
    MutablePeriod mp = new MutablePeriod();
    Period p = mp.period;
    Date pEnd = mp.end;
    // Let's turn back the clock
    pEnd.setYear(78);
    System.out.println(p);
    // Bring back the 60s!
    pEnd.setYear(69);
    System.out.println(p);
}

  在我的时区(locale)中,运行此程序会产生以下输出:

Wed Nov 22 00:21:29 PST 2017 - Wed Nov 22 00:21:29 PST 1978
Wed Nov 22 00:21:29 PST 2017 - Sat Nov 22 00:21:29 PST 1969

  虽然Period实例被创建之后,它的约束条件没有被破坏,但是要随意地修改它的内部组件仍然是有可能的。一旦攻击者获得了一个可变的Period实例,他就可以将这个实例传递给一个“安全性依赖于Period的不可变性”的类,从而造成更大的危害。这种推断并不牵强:实际上,有许多类的安全性就是依赖于String的不可变性。

  问题的根源在于,Period的readObject方法并没有完成足够的保护性拷贝。当一个对象反序列化的时候,对客户端不得拥有的对象引用的任何字段进行保护性拷贝至关重要 。因此,对于每个可序列化的不可变类,如果它包含了私有的可变组建,那么在它的readObject方法中,必须要对这些组件进行保护性拷贝。下面的readObject方法可以确保Period的约束条件不会遭到破坏,以保持它的不可变性。

// readObject method with defensive copying and validity checking
private void readObject(ObjectInputStream s) throws IOException, ClassNotFoundException {
    s.defaultReadObject();
    // Defensively copy our mutable components
    start = new Date(start.getTime());
    end = new Date(end.getTime());
    // Check that our invariants are satisfied
    if (start.compareTo(end) > 0)
        throw new InvalidObjectException(start +" after "+ end);
}

  注意,保护性拷贝是在有效性检查之前进行的,而且,我们没有使用Date的clone方法来进行保护性拷贝。这两个细节对于保护Period免受攻击是必要的(第50项)。同时也要注意到,对于final域,保护性拷贝是不可能的。为了使用readObject方法,我们必须要将start和end域做成非final的。这是很遗憾的,但是这还算是相对比较好的做法。有了这个新的readObject方法,并去掉了start和end域的final修饰符之后,MutablePeriod类将不再有效。此时,上面的攻击程序就会产生这样的输出:

Wed Nov 22 00:23:41 PST 2017 - Wed Nov 22 00:23:41 PST 2017
Wed Nov 22 00:23:41 PST 2017 - Wed Nov 22 00:23:41 PST 2017

  这是一个简单的“石蕊”测试,用于判断默认的readObject方法是否适用于某个类:您是否愿意添加一个公共构造函数,该构造函数将对象中每个非瞬时字段的值作为参数,并将值存储在字段中而不进行任何验证?如果没有,则必须提供readObject方法,并且必须执行构造函数所需的所有有效性检查和保护性拷贝。或者,您可以使用序列化代理模式(serialization proxy pattern)(第90项)。强烈建议使用此模式,因为它需要花费大量精力进行安全反序列化。

  readObject方法和构造函数之间还有一个相似之处,它们适用于非final的可序列化类。与构造函数一样,readObject方法不能直接或间接调用可覆盖的方法(第19项)。如果违反此规则并且重写了相关方法,则重写方法将在子类的状态被反序列化之前运行。就可能会导致程序失败[Bloch05,Puzzle 91]。

  总而言之,每当你编写readObject方法的时候,都要这样想:你在编写一个公有的构造器,无论给它传递什么样的字节流,它都必须产生一个有效的实例。不要假设这个字节流一定代表着一个真正被序列化过的实例。虽然在本项的例子中,类使用了默认的序列化形式,但是,所有讨论到的有可能发生的问题也同样适用于使用自定义序列化形式的类。下面以摘要的形式给出一些指导方针,有助于编写出更加健壮的readObject方法:

  • 对于对象引用域必须保持为私有的类,要保护性地拷贝这些域中的每个对象。不可变类的可变组件就属于这一类别。

  • 对于任何约束条件,如果检查失败,则抛出一个InvalidObjectException异常。这些检查动作应该跟在所有的保护性拷贝之后。

  • 如果整个对象图在被反序列化之后必须进行验证,就应该使用ObjectInputValidation接口(不在本书中讨论)。

  • 无论是直接的方式还是间接的方式,都不要调用类中任何可被覆盖的方法。

coloured_glaze
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java跳过构造方法新建对象
01-20
 (4) 运用反序列化手段,调用java.io.ObjectInputStream对象的 readObject()方法。  1.new方法显式调用构造方法;  2.反射方法无论是反射类还是反射构造方法都是通过构造方法构建对象;  3.通过对一个原有对象...
readObject()使用场景
weixin_41973367的博客
05-19 2017
readObject()一次返回一个对象,再readObject()一次返回第二个对象,自动在每个对象后面做标记。 //读取ois保存到list中。向下转型。 //创建输入流对象ois,保存文件输入流对象。 ois = new ObjectInputStream(new FileInputStream(PathConstant.BOOK_PATH)); //读取ois保存到list中。向下转型。 ..
ReadObject源码分析01
最新发布
lpcInJava的博客
12-04 83
获取到id后,返回继续执行,后边代码是将model和desc中的一些信息赋值给自己的全局变量,model是传入的,是根据流获取的反序列化类的一些属性,desc是我本方法根据class模板获取的对象信息,执行完方法后,返回readNonProxyDesc方法,最终执行完毕,返回desc这个类描述对象。当没有显示的手动创建serialVersionUID时,会进入computeDefaultSUID()计算生成。这个方法主要是从流的方向获取反序列化类的一些信息。执行我们之前设置的无参构造函数的invoke()
Java readObject方法分析
01-29 2467
Java readObject方法分析 WebLogic 反序列化漏洞用到了有关 readObject 相关的知识,那么这里来分析一下 ObjectInputStream#readObject 方法,为后续 WebLogic 的反序列化漏洞分析打下基础。 编写调试类 User 类 public class User implements Serializable { private String name; private int age; protected User() thr
序列化与反序列化
liubo0525
11-04 300
序列化与反序列化 序列化 反序列化 定义 对象---->IO字节流 IO字节流---->对象 作用 1)对象可以保存在磁盘上。使对象可以脱离程序的运行而独立存在 2)便于网络传输。如RMI(远程方法调用) 恢复成原来的对象 数据格式 json/xml json/xml https://www.cnblogs.com/lxq0309/p/3663271.html 对象的序列化:把对象转换为字节流的过程。可以将其保存到磁盘文件中或通过网络发送到任何其他程序。 对象的反序
引用的强制转换到底经历了什么?readObject()返回的Object对象
qq_44041944的博客
06-02 616
1.强制转换的条件: 引用之间的强制转换的前提条件是它们对于的类具有继承关系。当引用Animal的指向对象类型是引用cat的指向对象类型的父类时,可以用强制转换将引用Animal变成cat类型。这听起来很绕,但是理解起来很简单。 2.强制转换的特点: 这需要对引用和对象的关系有明确的了解。使用杜老师的画图法: animal是cat的父类。animal有run()“运动”函数,而cat继承了aninal的run()且具有独特的miao()”喵喵叫“函数。刚开始a是一个指向cat对象的animal。这时a仅能
ByteArraySerialisation:用于联网消息的字节数组序列化库
03-04
这个库提供了一种方法,可以轻松地序列化用于网络目的的类或将它们保存到二进制文件中(即使在这种情况下您最好使用json或xml) 以下是其工作原理的预览: 安装 由于此lib是标头且可放入一个文件中,因此使用它很...
基于Java实现学生选课模拟系统之文件输入输出【100011979】
04-25
采用对象序列化的 readObject 方法从文件中恢复对象,并操作学生的选课课表,实现退课操作。 3.打印课程对象信息,采用覆盖定义 toString()方法的方式。 实验步骤 在保持实验三目中,Course 类,Student 类,...
Java自带的序列化方法1
08-08
相对应的还有解码器和readObject()方法
初识Java反序列化漏洞
weixin_43610673的博客
12-18 3069
Java反序列化漏洞 漏洞成因是自定义实现Serializable的方法中的readObject()方法内代码逻辑存在缺陷。 Java反序列化中readObject()方法的作用相当于PHP反序列化中的魔术函数,使反序列化过程部分可控,通过去寻找可利用的类并构造反射链来进行任意代码执行。 Java反序列化 序列化的基本概念 • 序列化:将对象转换为字节序列 • 反序列化:由字节序列恢复为对象 • 意义:序列化机制允许将实现序列化的Java对象转换位字节序列,这些字节序列可以保存在磁盘上,或通过网络传输,以达
Java ObjectInputStream readObject()方法(带示例)
06-29 2748
ObjectInputStream类readObject()方法 (ObjectInputStream Class readObject() method) readObject() method is available in java.io package. readObject()方法在java.io包中可用。 readObject() method is used to read an ...
【笔记88保护性编写 readObject方法
u013773608的博客
09-02 802
  第 50 条介绍了一个不可变的日期范围类,它包含可变的私有变量Date。该类通过在其构造器和访问方法(accessor)中保护性的拷贝Date对象,极力维护其约束条件和不可变性。该类代码如下所示: // Immutable class that uses defensive copying public final class Period { private final D...
深入了解序列化writeObjectreadObjectreadResolve
qq_43985303的博客
05-04 1450
最后再总结一下java的序列化- 必须实现Serializable接口或Externalizable接口的类才能进行序列化- transient和static修饰符修饰的成员变量不会参与序列化和反序列化- 反序列化对象和序列化前的对象的全类名和serialVersionUID必须一致- 在目标类中添加私有的writeObjectreadObject方法可以覆盖默认的序列化和反序列化方法
ObjectInputStream的readObject()方法读取对象问题
热门推荐
yanguowuhen3的博客
06-21 1万+
对于含有多个Object对象的文件,如何读进内存,判读何时到了结尾,不外乎有下面两种途径: /* * 若文件中有若干个Object对象,你用ObjectInputStream中的readObject()去读,何时判读到结尾? * 方法之一:(常用的方法)将若干个对象(数量不定)都装入一个容器中(如:ArrayList之类), * 然后将容器这一个对象写入就行了。读取时,只要读取一个对象
Objectinputstream的readObject()无法读取对象,debug时不经过return,直接挂了
weixin_43916476的博客
03-19 2419
#学Java以来遇到的最大问题 在我进行模仿QQ服务器的过程里,我遇到了一个问题,就是在运行Objectinputstream的readObject()方法的时候无法读取用户对象,debug时更是直接挂了,也没报错,想了好久也没有办法,请各路大神指教! 代码如下: //这是服务器线程部分 public class ServerThread implements Runnable { publi...
java readobject_Java.io.ObjectInputStream.readObject()方法实例
weixin_31091067的博客
02-21 1086
java.io.ObjectInputStream.readObject()方法ObjectInputStream中读取对象。读取该对象的类,类签名以及类及其所有超类型的非瞬态和非静态字段的值。默认的反序列化的类可以使用writeObjectreadObject方法被重写。由此对象引用的对象被传递地读,这样对象的完全等价的图形是由readObject重建。当所有的字段和对象是引用完全恢复根对象...
java基础--反序列化漏洞原理
zyer
05-04 4388
原理 根据上篇文章可以了解到,一个类想要实现序列化和反序列化,必须要实现 java.io.Serializable 或 java.io.Externalizable 接口。 Serializable 接口是一个标记接口,标记了这个类可以被序列化和反序列化,而 Externalizable 接口在 Serializable 接口基础上,又提供了 writeExternal 和 readExternal 方法,用来序列化和反序列化一些外部元素。 其中,如果被序列化的类重写了 writeObject 和 r
关于Java中使用Serializable中readObjectreadObject调用的问题
weixin_30484247的博客
06-22 917
我们都知道,序列化不会自动保存static和transient变量,因此我们若要保存它们,则需要通过writeObject()和readObject()去手动读写。(01) 通过writeObject()方法,写入要保存的变量。writeObject的原始定义是在ObjectOutputStream.java中,我们按照如下示例覆盖即可: private void writeObject(Obj...
writeobjectreadobject方法
03-16
writeObjectreadObject方法是Java中用于序列化和反序列化对象的方法。writeObject方法将一个对象写入输出流中,以便在网络上传输或保存到文件中。readObject方法从输入流中读取对象,以便在程序中使用。这两个方法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值