单例模式,防止反射和反序列化漏洞

最新推荐文章于 2022-07-19 22:36:06 发布
最新推荐文章于 2022-07-19 22:36:06 发布
阅读量286 收藏 1
点赞数
分类专栏: Java

一、懒汉式单例模式,解决反射和反序列化漏洞

package com.iter.devbox.singleton;
 
import java.io.ObjectStreamException;
import java.io.Serializable;
 
/**
 * 懒汉式(如何防止反射和反序列化漏洞)
 * @author Shearer
 *
 */
public class SingletonDemo6 implements Serializable{
    
    // 类初始化时,不初始化这个对象(延迟加载,真正用的时候再创建)
    private static SingletonDemo6 instance;
    
    private SingletonDemo6() {
        // 防止反射获取多个对象的漏洞
        if (null != instance) {
            throw new RuntimeException();
        }
    }
    
    // 方法同步,调用效率低
    public static synchronized SingletonDemo6 getInstance() {
        if (null == instance)
            instance = new SingletonDemo6();
        return instance;
    }
 
    // 防止反序列化获取多个对象的漏洞。
    // 无论是实现Serializable接口,或是Externalizable接口,当从I/O流中读取对象时,readResolve()方法都会被调用到。
    // 实际上就是用readResolve()中返回的对象直接替换在反序列化过程中创建的对象。
    private Object readResolve() throws ObjectStreamException {  
        return instance;
    }
}
 
 
package com.iter.devbox.singleton;
 
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
 
public class Client2 {
 
    public static void main(String[] args) throws Exception {
        SingletonDemo6 sc1 = SingletonDemo6.getInstance();
        SingletonDemo6 sc2 = SingletonDemo6.getInstance();
        System.out.println(sc1); // sc1,sc2是同一个对象
        System.out.println(sc2);
        
        // 通过反射的方式直接调用私有构造器(通过在构造器里抛出异常可以解决此漏洞)
/*        Class<SingletonDemo6> clazz = (Class<SingletonDemo6>) Class.forName("com.iter.devbox.singleton.SingletonDemo6");
        Constructor<SingletonDemo6> c = clazz.getDeclaredConstructor(null);
        c.setAccessible(true); // 跳过权限检查
        SingletonDemo6 sc3 = c.newInstance();
        SingletonDemo6 sc4 = c.newInstance();
        System.out.println(sc3);  // sc3,sc4不是同一个对象
        System.out.println(sc4);*/
        
        // 通过反序列化的方式构造多个对象(类需要实现Serializable接口)
        
        // 1. 把对象sc1写入硬盘文件
        FileOutputStream fos = new FileOutputStream("object.out");
        ObjectOutputStream oos = new ObjectOutputStream(fos);
        oos.writeObject(sc1);
        oos.close();
        fos.close();
        
        // 2. 把硬盘文件上的对象读出来
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("object.out"));
        // 如果对象定义了readResolve()方法,readObject()会调用readResolve()方法。从而解决反序列化的漏洞
        SingletonDemo6 sc5 = (SingletonDemo6) ois.readObject();
        // 反序列化出来的对象,和原对象,不是同一个对象。如果对象定义了readResolve()方法,可以解决此问题。
        System.out.println(sc5); 
        ois.close();
    }
 
}


二、静态内部类式单例模式(解决反射和反序列化漏洞)

package com.iter.devbox.singleton;
 
import java.io.ObjectStreamException;
import java.io.Serializable;
 
/**
 * 静态内部类实现方式(也是一种懒加载方式)
 * 这种方式:线程安全,调用效率高,并且实现了延迟加载
 * 解决反射和反序列化漏洞
 * @author Shearer
 *
 */
public class SingletonDemo7 implements Serializable{
    
    private static class SingletonClassInstance {
        private static final SingletonDemo7 instance = new SingletonDemo7();
    }
    
    // 方法没有同步,调用效率高
    public static SingletonDemo7 getInstance() {
        return SingletonClassInstance.instance;
    }
    
    // 防止反射获取多个对象的漏洞
    private SingletonDemo7() {
        if (null != SingletonClassInstance.instance)
            throw new RuntimeException();
    }
    
    // 防止反序列化获取多个对象的漏洞
    private Object readResolve() throws ObjectStreamException {  
        return SingletonClassInstance.instance;
    }
}
 
 
package com.iter.devbox.singleton;
 
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;
 
public class Client3 {
 
    public static void main(String[] args) throws Exception {
        SingletonDemo7 sc1 = SingletonDemo7.getInstance();
        SingletonDemo7 sc2 = SingletonDemo7.getInstance();
        System.out.println(sc1); // sc1,sc2是同一个对象
        System.out.println(sc2);
        
        // 通过反射的方式直接调用私有构造器(通过在构造器里抛出异常可以解决此漏洞)
        Class<SingletonDemo7> clazz = (Class<SingletonDemo7>) Class.forName("com.iter.devbox.singleton.SingletonDemo7");
        Constructor<SingletonDemo7> c = clazz.getDeclaredConstructor(null);
        c.setAccessible(true); // 跳过权限检查
        SingletonDemo7 sc3 = c.newInstance();
        SingletonDemo7 sc4 = c.newInstance();
        System.out.println("通过反射的方式获取的对象sc3:" + sc3);  // sc3,sc4不是同一个对象
        System.out.println("通过反射的方式获取的对象sc4:" + sc4);
        
        // 通过反序列化的方式构造多个对象(类需要实现Serializable接口)
        
        // 1. 把对象sc1写入硬盘文件
        FileOutputStream fos = new FileOutputStream("object.out");
        ObjectOutputStream oos = new ObjectOutputStream(fos);
        oos.writeObject(sc1);
        oos.close();
        fos.close();
        
        // 2. 把硬盘文件上的对象读出来
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("object.out"));
        // 如果对象定义了readResolve()方法,readObject()会调用readResolve()方法。从而解决反序列化的漏洞
        SingletonDemo7 sc5 = (SingletonDemo7) ois.readObject();
        // 反序列化出来的对象,和原对象,不是同一个对象。如果对象定义了readResolve()方法,可以解决此问题。
        System.out.println("对象定义了readResolve()方法,通过反序列化得到的对象:" + sc5); 
        ois.close();
    }
 
}

--------------------- 
作者:Lena-Yang 
来源:CSDN 
原文:https://blog.csdn.net/hardwin/article/details/51477359 
版权声明:本文为博主原创文章,转载请附上博文链接!

雪山上的小草
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java代码审计之反序列化静态内部类
糖小喵
05-07 932
对非静态内部类的序列化依赖编译器,且随着平台的不同而不同,容易产生错误。 对内部类的序列化会导致外部类的实例也被序列化。这样有可能泄露敏感数据。 public class DistributeData implements SerializedName{ public class CodeDetail {...} } CodeDetail 并不会被序列化。 public class Di...
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
单例设计模式总结-5种常见写法+防止发射反序列化
QiuYang18的博客
10-22 547
单例模式是设计模式中最常见的,也是最简单的一种,所谓单例,是需要在任何时候只存在一个对象实例,故显然需要私有化构造器,构造器私有了,要想获得这个实例,故必须在类内部创建对象实例,同时必须提供静态方法来获取,静态方法只能操作静态属性,故内部对象实例需要被static修饰,由于单例,可用final修饰; 单例存在多种写法,有各自不同的特点,下面介绍常用的写法,并且这些写法有些存在漏洞,如发射、发序列
三种单例模式的终极写法(包括反射攻击)
IT匠人的博客
02-07 166
一、饿汉式的反射攻击及解决方法 public class HungrySingleton { //直接声明一个需要被单例的对象,在静态块中初始化对象 private final static HungrySingleton hungrySingleton; static { hungrySingleton=new HungrySingleton(); } //私有的构造器,不被外部所访问 private HungrySingleton(){
单例模式实现及防止反射与序列化
Better_YZQ的博客
07-19 764
单例模式 模式动机 对于系统中的某些类来说,只有一个实例很重要,如一个系统中只有一个计时工具和 ID(序号)生成器。 单例模式适用情况包括:系统只需要一个实例对象;客户调用类的单个实例只允许使用一个公共访问点。 定义 顾名思义,用来保证一个对象只能创建一个实例,除此之外,它还提供了对实例的全局访问方法。 单例模式的要点有三个:一是类只能有一个实例;二是它必须自行创建这个实例;三是它必须自行向整个系统提供这个实例。 实现 为了确保单例实例的唯一性,所有的 单例构造器都要被声明为私有 的,再通过声明 静态方法实
单例模式实现以及防止反射与序列化
Better_YZQ的博客
03-15 507
单例模式 模式动机 对于系统中的某些类来说,只有一个实例很重要,如一个系统中只有一个计时工具和 ID(序号)生成器。 单例模式适用情况包括:系统只需要一个实例对象;客户调用类的单个实例只允许使用一个公共访问点。 定义 顾名思义,用来保证一个对象只能创建一个实例,除此之外,它还提供了对实例的全局访问方法。 单例模式的要点有三个:一是类只能有一个实例;二是它必须自行创建这个实例;三是它必须自行向整个系统提供这个实例。 实现 为了确保单例实例的唯一性,所有的 单例构造器都要被声明为私有 的,再通过声明 静态方法实
单例模式的实现方式及如何有效防止防止反射反序列化
feelinghappy的专栏
08-23 1028
方式一:饿汉式(静态常量) public class Singleton { private final static Singleton SINGLETON = new Singleton(); private Singleton(){ } public void doAction(){ //TODO 实现你需要做的事 } public static Singleton getInstance(){
单例模式以及防止反射破坏
qq_40262372的博客
09-01 948
一、为何要单例? 优点: 1.单例模式保证java应用程序中,一个类Class只有一个实例在,使用单例模式好处在于可以节省内存,节约资源,对于一般频繁创建和销毁对象的可以使用单例模式。 因为它限制了实例的个数,有利于java垃圾回收。好的单例模式也能提高性能。例如:数据库连接池、httpclient连接单例 缺点: 1.单例的缺点不适用于变化的对象,如果同一类型的对象总是要在不同的用例场景发生变化,单例就会引起数据的错误,不能保存彼此的状态。 2.单例模式的构造函数是静态的,不能被子类继承。 .
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
深入浅析PHP的session反序列化漏洞问题
10-19
主要介绍了PHP的session反序列化漏洞问题,需要的朋友可以参考下
为什么用枚举类来实现单例模式越来越流行?
平头哥的技术博文
08-27 4075
前言 单例模式是 Java 设计模式中最简单的一种,只需要一个类就能实现单例模式,但是,你可不能小看单例模式,虽然从设计上来说它比较简单,但是在实现当中你会遇到非常多的坑,所以,系好安全带,上车。 单例模式的定义 单例模式就是在程序运行中只实例化一次,创建一个全局唯一对象,有点像 Java 的静态变量,但是单例模式要由于静态变量,静态变量在程序启动的时候就要创建,会造成大量的资源浪费,好的单例模式...
java设计模式-单例模式(四)
木子金丰的博客
09-11 515
单例顾名思义只能有单一的实例,单例对象的类必须保证只有一个实例存在。许多时候整个系统只需要拥有一个的全局对象,这样有利于我们协调系统整体的行为 使用场景:如在某个服务器程序中,该服务器的配置信息存放在一个文件中,这些配置数据由一个单例对象统一读取;还有如数据库连接池也是采用单例模式,只有一个连接池就可以了,再多就是浪费系统资源;还有如spring中的bean默认是单例;线程池; 单例的优点: ...
单例模式防止攻击(反射攻击)
msy7788的博客
10-25 1548
这几天看了几篇java的单例模式,以前也看过很多java单例的创建什么的,也知道怎么创建这些单例,比如懒汉啊、饿汉啊、枚举啊什么的,但是一直就是不明白为什么单例就是安全的,为什么懒汉和饿汉就没有枚举安全? 直到这几天看点儿多线程的东西才发现,多线程里面要求全局变量是固定的,不可变得(为什么?)。举个例子:买票的时候,有三个窗口,同时去卖票。这三个窗口的售票员都要从统一的地方去取票,这统一的地方其...
单例模式——如何防止反射破坏单例
weixin_40565846的博客
08-05 1657
一.在构造器中做判断,如果对象已经被创建那么再次创建则不允许创建 思路:不管是反射还是常规创建对象都需要调用构造器 弊端:如果在常规调用之前就已经使用反射创建则不能阻止 private volatile static SingleLazy instance; private SingleLazy(){ synchronized (this){ if(instance != null){ throw new Runtim
Java基础-单例防反射
MatrixMind的博客
03-26 525
1.单例的优势 单例模式(Singleton Pattern)是 Java 中创建型模式中最简单的设计模式,它提供了一种创建对象和访问对象以及减少资源重复创建的极佳的方式。 这种模式涉及到一个单一的类或者单一的内部类,该类负责创建同时确保只有该类的唯一对象被创建。这个类提供了以类名访问该对象的访问方式。 既然单例模式这么多优点那么我们怎么设计单例模式呢。 1.我们需要知道对象的创建有哪几种方式: new一个对象,反射newinstance(), 反序列化ObjectInputStream() 2
反射破坏单例模式以及怎样防御
小灰狼与大白兔的博客
12-05 7295
先贴几个比较全的java反射博客 Java反射:用最直接的大白话来聊一聊Java中的反射机制 Java基础之—反射(非常重要) Java反射技术详解 前面介绍的单例模式的实现方式: 设计模式之单例模式 单例模式的设计在于只保留一个公有静态函数来获取唯一的实例,其他方法(构造函数)或字段为私有,外界不能访问。 而java反射则突破了构造函数私有的限制,可以获取单例类的私有构造函数并使用。 //得到该类在内存中的字节码对象 Class objectClass = Class.forName("com.xt
keil5安装程序(包含keygen)
最新发布
05-21
keil5安装程序(包含keygen)适用于单片机学习
防止weblogic反序列化漏洞的好处
05-28
1. 防止黑客利用反序列化漏洞进行攻击:反序列化漏洞是一种常见的安全漏洞,黑客可以利用这种漏洞来执行恶意代码,从而导致系统被攻击。防止weblogic反序列化漏洞可以有效地防止黑客利用这种漏洞进行攻击。 2. 提高...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值