可变hashcode的隐患和序列化安全

最新推荐文章于 2022-01-25 19:51:58 发布
最新推荐文章于 2022-01-25 19:51:58 发布
阅读量253 收藏
点赞数
分类专栏: 技术 文章标签: Java 算法 JDK Security Bean

可变hashcode的隐患

 

    为识别对象,JDK为每个Object类都定义了一个hashcode,Object的类的hashcode是根据对象的内存地址做hash算法得出来的,String类则自己重写了hashcode()方法,是根据字符串的每个字符做算法累加起来的,Integer在直接返回value的值。

    而很多时候,对于应用系统的一些类(Java Bean),是要根据属性来计算hashcode而非内存地址,就像String类。所以会去覆盖Object的equals方法。其实重写就重写了,但是出于技术上的要求,JDK的一些数据结构Collection作为一个数据的容器,它需要唯一定位某个对象,而判定对象是否相等的标准是:1,hashcode是否相等;2,equals函数是否返回true。所以如果这些Java Bean用到这些Collection的话重写equals就必须同时重写hashcode了。

    但这不是重点,重点是另外一个问题:可变的hashcode带来的BUG。

 

大师Ted给出了例子,如下:

import java.util.*;

public class Person
    implements Iterable<Person>
{
    public Person(String fn, String ln, int a, Person... kids)
    {
        this.firstName = fn; this.lastName = ln; this.age = a;
        for (Person kid : kids)
            children.add(kid);
    }
    
    // ...
    
    public void setFirstName(String value) { this.firstName = value; }
    public void setLastName(String value) { this.lastName = value; }
    public void setAge(int value) { this.age = value; }
    
    public int hashCode() {
        return firstName.hashCode() & lastName.hashCode() & age;
    }

    // ...

    private String firstName;
    private String lastName;
    private int age;
    private List<Person> children = new ArrayList<Person>();
}


// MissingHash.java
import java.util.*;

public class MissingHash
{
    public static void main(String[] args)
    {
        Person p1 = new Person("Ted", "Neward", 39);
        Person p2 = new Person("Charlotte", "Neward", 38);
        System.out.println(p1.hashCode());
        
        Map<Person, Person> map = new HashMap<Person, Person>();
        map.put(p1, p2);
        
        p1.setLastName("Finkelstein");
        System.out.println(p1.hashCode());
        
        System.out.println(map.get(p1));
    }
}

 

    可以看到这个Person重写了hashcode,是属性的hashcode做与运算得出的结果。但是注意到,当p1对象作为key放入HashMap后,随后改变了lastName的属性,导致p1对象的hashcode发生了改变,从而System.out.println(map.get(p1));直接输出null。

    所以可以看到,在重写hashcode的时候要特别注意可变的hashcode的影响,为了消除这种隐患,最好给属性加上final的限制。

 

 

序列化安全问题

    java中序列化对象可以用户磁盘存储和网络传输对象等,但如果不经过任何处理则这些流都是明文的,具有安全隐患,我们通过模糊化处理或使用SealedObject加密等方法来保证安全,如下:

 

1,模糊化处理,如下:

    JAVA对于序列化、反序列化的类是利用ObjectOutputStream、ObjectIntputStream实现,如果需要序列化的类没有writeObject和readObject的方法话,则会调用默认的序列化方式,所以只要重写这两个方法就可以实现自定义的方式来增加安全性等特殊处理(JDK应该是考虑到了安全等问题才给与扩展),如下:

package com.tedneward;

public class Person
    implements java.io.Serializable
{
    public Person(String fn, String ln, int a)
    {
        this.firstName = fn; this.lastName = ln; this.age = a;
    }
    
    public String getFirstName() { return firstName; }
    public String getLastName() { return lastName; }
    public int getAge() { return age; }
    public Person getSpouse() { return spouse; }
    
    public void setFirstName(String value) { firstName = value; }
    public void setLastName(String value) { lastName = value; }
    public void setAge(int value) { age = value; }
    public void setSpouse(Person value) { spouse = value; }
    
    private void writeObject(java.io.ObjectOutputStream stream)
        throws java.io.IOException
    {
        // "Encrypt"/obscure the sensitive data
        age = age << 2;
        stream.defaultWriteObject();
    }
    
    private void readObject(java.io.ObjectInputStream stream)
        throws java.io.IOException, ClassNotFoundException
    {
        stream.defaultReadObject();

        // "Decrypt"/de-obscure the sensitive data
        age = age >> 2;
    }
    
    
    private String firstName;
    private String lastName;
    private int age;
    private Person spouse;
}

 

 

 

 

2,使用SealedObject对对象进行加密,然后序列化,如下:

 

 

import java.io.Serializable;
import java.security.Security;

import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SealedObject;
import javax.crypto.SecretKey;

public class MainClass {
  public static void main(String args[]) throws Exception {
    Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());
    SecretKey secretKey;
    Cipher encrypter, decrypter;

    secretKey = KeyGenerator.getInstance("DES").generateKey();// des加密

    encrypter = Cipher.getInstance("DES");
    encrypter.init(Cipher.ENCRYPT_MODE, secretKey);

    decrypter = Cipher.getInstance("DES");
    decrypter.init(Cipher.DECRYPT_MODE, secretKey);

    MyClass cust, unsealed;
    SealedObject sealed;

    cust = new MyClass();
    cust.name = "Paul";
    cust.password = "password";

    // Seal it, storing it in a SealedObject
    sealed = (new SealedObject(cust, encrypter));
    
    FileOutputStream fos = new FileOutputStream(args[0]);
    ObjectOutputStream oos = new ObjectOutputStream(fos);
    oos.writeObject(sealed);
    oos.close();

    // Try unsealing it
    String algorithmName = sealed.getAlgorithm();
    System.out.println(algorithmName);
    unsealed = (MyClass) sealed.getObject(decrypter);

    System.out.println("NAME: " + unsealed.name);
    System.out.println("PASSWORD: " + unsealed.password);

  }
}

class MyClass implements Serializable {
  public String name;

  public String password;
}

 

 

iteye_1465
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
对象序列化的危害有多大?
凯凯的博客
10-20 1283
如果一个函数或者对象, 不管它位于多么遥远的地方, 都可以在本地直接被调用, 那该有多好呀! 比如远程 过程调用(RPC) 、 远程方法调用(RMI) 、 分布式对象(Distributed Object) 、 组件对象模型(COM) 、 公共对象请求代理(CORBA) 和简单对象访问协议(SOAP) 等……这个列表还可以很长很长。 躲在这些协议背后的核心技术之一, 就是序列化。 简单地说, 序...
注意可变hashCode()
aldo in soft
11-23 123
Map 是很好的集合,为我们带来了在其他语言(比如 Perl)中经常可见的好用的键/值对集合。 JDK 以 HashMap 的形式为我们提供了方便的 Map 实现,它在内部使用哈希表实现了对键的对应值的快速查找。 但是这里也有一个小问题:支持哈希码的键依赖于可变字段的内容,这样容易产生 bug,即使最耐心的 Java 开发人员也会被这些 bug 逼疯。 假设清单 3 中的 Person ...
JAVA_高级特性(hashCode,clone,比较器,Class反射,序列化
wjp553650958的专栏
09-27 1238
//HashCode方法,JAVA中的对象都有自身的HashCode码class Person02{  private String name;  private int age;  public Person02(String name,int age){  this.name=name;  this.age=age; }  public String toString(){  return "
关于HashCode方法,可变对象和内存泄漏问题
程序猿DD
08-08 407
点击蓝色“程序猿DD”关注我回复“资源”获取独家整理的学习资料!这是一篇关于hashCode方法,可变对象和内存泄漏问题的文章。1. 重写hashCode()和eq...
Java序列化安全机制
JianLeiXing的博客
02-12 573
[align=center][b]Java序列化安全机制[/b][/align] 前言 上一篇最后我们提到采用java默认的序列化机制是存在安全漏洞的。第一种漏洞就是在网络中传播二进制流时被黑客截获,获取其中的一些敏感信息,比如账号密码以及上文提到的苹果的价格;另一种就是黑客截获到了这些信息后加以修改,再通过网络发送出去,比如恶意修改了苹果价格信息,那么销售商将会面临破产的危机。基于此此,ja...
java 序列化和重写 hashCode 的原因
12-02
java 序列化和重写 hashCode 以及 equals 方法的例子
重写equals和hashcode方法_equals_重写equals和hashcode方法_
10-03
重写equals和hashcode方法,学习和进步
详解hashCode()和equals()的本质区别和联系
08-29
主要介绍了详解hashCode()和equals()的本质区别和联系,本文先对两种方法作了介绍,然后对二者联系进行分析,具有一定参考价值,需要的朋友可以了解下。
重写hashCode()和equals()方法详细介绍
08-28
主要介绍了重写hashCode()和equals()方法详细介绍,涉及重写equals()方法,重写hashCode()方法,重写equals()而不重写hashCode()的风险等相关内容的介绍,具有一定借鉴价值,需要的朋友可以参考下
JavahashCode和equals方法的正确使用
01-20
在这篇文章中,我将告诉大家我对hashCode和equals方法的理解。我将讨论他们的默认实现,以及如何正确的重写他们。我也将使用Apache Commons提供的工具包做一个实现。  hashCode()和equals()定义在Object类中,这...
Java对象的序列化
程铭程铭你快成名的博客
05-28 1269
基本概念 什么是序列化和反序列化 序列化就是将对象写入到IO流中,反序列化就是从IO流中恢复对象。 为什么需要序列化 序列化后的流,可用于持久化到磁盘,也可以用于网络传输。使得Java对象可以跨进程、跨主机使用。 转成Json和XML算序列化Java对象转成字符串、Json、XML等其实也称为“序列化”,但与JVM提供的序列化功能不太一样,可以说序列化是一个比较抽象的概念,但本文主要指JVM...
java 序列化
彻底拆分,一切可控!
12-02 3790
1.序列化是干什么的? 简单的来说就是为了保存各个对象在内存中的状态(也就是实例的变量,不是方法),并且可以把保存的对象状态读出来。虽然你可以用你自己的各种各样的方法来保存 object states,但是java给你提供一种应该比你自己好的保存对象状态的机制,那就是序列化。 2.什么情况下需要序列化 1. 当你想把内存中的对象状态保存到一个文件或者是数据中的时候; 2. 当你想用 ...
Java安全学习笔记--反序列化利用链HashMap类源码简单分析
m0_64685672的博客
01-25 694
前言 ysoserial反序列化漏洞利用工具的CC6和CC7链都使用了哈希表的数据存储结构,说到哈希表在Java中用的最多的使用哈希表存储结构的就是HashMap类了,同时HashMap类也是CC6链中HashSet类的底层实现基础,增删改查都是基于一个在构造函数中最开始实例化的一个HashMap类,CC7链中的Hashtable类和HashMap类用法及结构也非常相似,简单分析一下HashMap的源码还是比较有意义的。
第三章 Object(equals、hashCode、clone) && 序列化 && 内部类 && 静态属性/方法 && Java异常 && final
Stay Hungry Stay Foolish 求知若饥 虚心若愚
08-27 3241
文章目录(一)equals和==的区别?(二)你如何理解序列化?有哪些方式序列化?(三)给我谈谈Java中的内部类。(四)闭包和内部类的区别?(五)为什么局部内部类访问局部变量需要final?(六)静态属性和静态方法能被继承吗?静态方法又是否能被重写呢?(七)常见的编码格式有哪些?(八)说说Java异常体系主要用来干什么的 & 异常体系?(九)Error和Exception的区别?(十)说...
【入坑JAVA安全】手把手教你写反序列化POC
一个安全研究员
04-15 1926
要是你是妹子就更好了~
Android安全攻击——对象序列化OOM问题
houliang120的专栏
02-27 1543
前言 最近在项目中使用ObjectInputStream/ObjectOutputStream进行对象的序列化和反序列化,出现了OOM的问题,在解决的过程中简单的研究了一下对象的序列化和反序列化(使用Serializable接口)的过程,简单做一个记录。发现了一个持久化存储序列化数据的安全风险,可能会受到恶意攻击,导致必现的OOM。 使用场景 应用在使用过程中,首先使用ObjectO
hashCode和equals
最新发布
05-26
hashCode和equals都是Java中用于比较对象的方法。它们的作用和使用场景不同,但是它们之间也有一定的联系。 hashCode方法返回对象的哈希码,这个哈希码可以用于快速查找对象。在HashMap、HashSet等集合类中,会使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值