【JavaSec】JDK动态代理初探

最新推荐文章于 2024-10-20 17:09:42 发布
最新推荐文章于 2024-10-20 17:09:42 发布
阅读量376 收藏 5
点赞数 13
分类专栏: JavaSec 文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jayq1/article/details/141298379
版权

JDK动态代理初探

文章目录

  • 静态代理

用户接口:

public interface IUser {
    void show();

    void create();

    void update();
}

用户实现类:

/**
 * 实现类
 */

public class UserImpl implements IUser{
    public UserImpl(){

    }

    @Override
    public void show(){
        System.out.println("执行 => 展示");
    }

    @Override
    public void create() {
        System.out.println("执行 => 创建");
    }

    @Override
    public void update() {
        System.out.println("执行 => 更新");
    }


}

Proxy:

import java.lang.reflect.Method;

/**
 * 静态代理 实现IUser接口
 * 起到通过代理 有日志记录的功能
 */
public class UserProxy implements IUser{
    IUser user;
    public UserProxy(){
    }
    public UserProxy(IUser user){
        this.user = user;
    }

    @Override
    public void show(){
        user.show();
        System.out.println("Proxy:调用 => show");
    }

    @Override
    public void create() {
        user.create();
        System.out.println("Proxy:调用 => create");
    }

    @Override
    public void update() {
        user.update();
        System.out.println("Proxy:调用 => update");
    }
}

测试类:

import java.lang.reflect.Proxy;

public class ProxyTest {
    public static void main(String[] args){

        //创建一个对象  用接口效果一样 继承关系
        IUser  user = new UserImpl();
//        user.show();  无代理 直接访问
        //上代理  通过代理的好处 相当于租房找中介  有过程日志记录
        //静态代理
        IUser userProxy = new UserProxy(user);
        userProxy.show();
        userProxy.update();
        userProxy.create();
    }
}

效果:

image-20240818103836345

但是我们可以发现,上面的这种如果想对所有方法都进行代理,其实非常麻烦,每个函数方法都得写一遍

所以引出动态代理,可以自动找到对应的方法 不用重写了

  • 动态代理

ProxyTest:

//动态代理
//新建一个动态代理类  参数:要代理的接口、要做的事情、类加载器classloader
InvocationHandler userinvocationHandler = new UserInvocationHandler(user);
IUser userActiveProxy = (IUser) Proxy.newProxyInstance(user.getClass().getClassLoader(), user.getClass().getInterfaces(), userinvocationHandler);

userActiveProxy.create();

userinvocationHandler:

import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Method;

public class UserInvocationHandler implements InvocationHandler {

    IUser user;

    public UserInvocationHandler(){

    }
    public  UserInvocationHandler(IUser user){
        this.user = user;
    }


    @Override
    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable{
        method.invoke(user, args);   // 接收到方法  利用invoke函数调用  参数时对象 和对应的方法值
        return null;
    }
}

image-20240818123723767

可以成功执行方法

但是没有 实现日志的效果 加一句话就ok了

image-20240818124209477

解释作用:

找到一个漏洞利用的点 B.f

入口是A(O) -> O.f2 意思:A接收参数O 然后调用O的f2方法

此时,如果O是动态代理类 O接收参数 进行调用f方法

O(X) invoke -> X.f 此时只需要把X传为B即可调用B.f

作用总结:

  1. readObject -> 反序列化自动执行
  2. invoke -> 有函数调用
  3. 拼接两条链
哈皮Superman
关注
专栏目录
Stakcery#JavaSec#利用TemplatesImpl执行字节码1
07-25
介绍之前首先还是要知道defineClass的利用方式,下面给出简单的代码public TouchFile() throws Exception {把它编译成字
Y4tacker#JavaSec#CommonsBeanutils1笔记1
07-25
CommonsBeanutils1笔记主要是有个比较好玩的地方在TemplatesImpl的getOutputProperties方法里面也调用了newTran
JavaSec 基础之 CC1 链
akdelt的博客
03-11 508
调用了 checkSetValue。而且它是 TransformedMap 的父类。
JavaSec 基础之反序列化
akdelt的博客
03-08 390
Java 序列化是指把 Java 对象转换为字节序列的过程;Java 反序列化是指把字节序列恢复为 Java 对象的过程;
JavaSec 基础之 SQL 注入
akdelt的博客
02-22 796
in之后多个username查询时使用 # 同样会报错(因为预编译机制,系统将我们输入的字符当作了一个字符串,因此查询结果为空,不能满足业务功能需求),因此很多研发会采用${}来解决,从而造成SQL注入。编写xml文件时,Mybatis支持两种参数符号,一种是#,另一种是$。由于使用 #{} 会将对象转成字符串(因为预编译机制,系统将我们输入的字符当作了一个字符串)根据字符串排序是不生效的。Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。
JavaSec 开源项目教程
gitblog_00027的博客
08-10 369
JavaSec 开源项目教程 JavaSeca rep for documenting my study, may be from 0 to 0.1项目地址:https://gitcode.com/gh_mirrors/ja/JavaSec 项目介绍 JavaSec 是一个专注于 Java 安全学习的开源项目,由 Y4tacker 维护。该项目旨在记录和分享 Java 安全相关的学习笔记、漏洞分...
bewhale/JavaSec漏洞靶场搭建
m0_56741167的博客
07-21 1646
搭建javasec漏洞靶场
JavaSec 基础之 RCE
akdelt的博客
02-24 341
TOC]
JavaSec 开源项目安装与使用指南
gitblog_00571的博客
08-10 437
JavaSec 开源项目安装与使用指南 JavaSeca rep for documenting my study, may be from 0 to 0.1项目地址:https://gitcode.com/gh_mirrors/ja/JavaSec 目录结构及介绍 根目录 在克隆JavaSec仓库之后,根目录将包含以下主要文件夹和文件: src: 源代码的主要存放地。 main: 主要的功...
JavaSec】类的动态加载初探
jayq1的博客
08-19 570
JavaSec】类的动态加载初探
JavaSec:Java安全学习的宝库
gitblog_00554的博客
08-12 379
JavaSec:Java安全学习的宝库 JavaSeca rep for documenting my study, may be from 0 to 0.1项目地址:https://gitcode.com/gh_mirrors/ja/JavaSec 项目介绍 JavaSec 是一个专注于Java安全学习的开源项目,由@Y4tacker创建于2021年10月18日。这个项目不仅仅是一个教学仓库,...
JavaSec1Project4:Java pt.1项目4
04-29
在本项目"JavaSec1Project4:Java pt.1项目4"中,我们将深入探讨Java编程语言的一个实际应用,特别是关注一个名为`BookOrder`的类。这个类是Java编程基础的重要组成部分,它代表了一个书籍订单系统的核心概念。在本...
【C++刷题】力扣-#121-买卖股票的最佳时机
会写代码的饭桶
10-16 551
给定一个数组 prices,其中 prices[i] 表示第 i 天的股票价格。假设你可以在第 i 天买入并在第 j 天卖出股票(i ≤ j),设计一个算法来计算你所能获取的最大利润。注意你只能持有一股股票,并且你不能同时参与多笔交易(即在再次买入前必须卖出股票)。
No provider available from registry RegistryDirectory
最新发布
小道仙的后宫
10-20 214
最近在做配置文件升级,服务比较多,之前的Dubbo配置各个服务写的比较乱,有的用Nacos上的 data-id,有的又是在自己的服务引入配置遂准备统一了,全部都用Nacos上的配置,同时修改了Dubbo服务名发到线上的时候,线上崩了,部分服务出现如下错误注: IP和服务名做了隐藏处理。
java 异常包装
fdvvg的博客
10-17 331
通过异常包装,可以在Java中有效地处理和传递异常。这样做不仅能保持原始异常的信息,还能为上层调用者提供更多的上下文信息。
基于SSM班级事务管理系统的设计
2401_87849773的博客
10-15 419
管理员账户功能包括:系统首页,个人中心,学生管理,班委管理,班会组织管理,健康档案管理,党员发展管理,党员培训管理,学生成绩管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。班委账号功能包括:系统首页,学生管理,学生成绩管理,活动信息管理,班费通知管理。服务器:SpringBoot自带 apache tomcat。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发系统:Windows。
代理模式、BigDecimal详解
Mr.W的博客
10-14 1071
BigDecimal可以实现对浮点数的运算,不会造成精度丢失。通常情况下,大部分需要浮点数精确运算结果的业务场景(比如涉及到钱的场景)都是通过BigDecimal来做的。浮点数之间的等值判断,基本数据类型不能用 == 来比较,包装数据类型不能用 equals 来判断。想要解决浮点数运算精度丢失这个问题,可以直接使用BigDecimal来定义浮点数的值,然后再进行浮点数的运算操作即可​​// 0。
pyserini安装&使用
DreamLike_zzg的博客
10-14 616
代码。
JavaWeb Servlet--09深入:注册系统04--修改页面
weixin_62189092的博客
10-16 369
这里就会获取要修改的用户的id,返回用户,再把这个用户重定向跳转到update.jsp页面。在再UserServlet里书写修改的代码。分析:点击修改超链接,就跳转到一个修改界面,要显示原本的数据,且密码显示出来,在该页面将对用户的数据的进行修改,最后提交。findUserByID()----显示原本的内容,update()---修改数据库内容的方法。注意:修改信息是要展示密码的文本内容,所以在password处type="text";写法和register没有太大的区别,主要是对文本框获得值。
step 3/6 : ADD ./target/ javasec-1.7 .jar app. jar lstat target/javasec-1.7.jar: no such file or directory
07-15
这个错误提示表明在当前目录下找不到名为 "target/javasec-1.7.jar" 的文件。可能是由于以下原因之一导致的问题: 1. 该文件不存在:请确保在当前目录下存在名为 "target/javasec-1.7.jar" 的文件。你可以使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值