Java代码审计前置知识——Java 反射机制

已于 2022-10-26 21:41:38 修改
阅读量414 收藏
点赞数
分类专栏: Java安全代码审计分析 文章标签: java 开发语言 web安全
于 2022-10-26 21:41:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61506558/article/details/127540190
版权

目录

前言:

(一)什么是反射

Oracle 官方解释

(二)反射的用途

(三)反射的基本运用

3.1.  取类对象

(1)使用 forName()方法

(2)直接获取

 (3)使用 getClass() 方法

(4)使用 getSystemClassLoader().loadClass() 方法

3.2.获取类方法

(1)getDeclaredMethods 方法

 (2)getMethods 方法

 (3)getMethod 方法

(4)getDeclaredMethod 方法

3.3.  获取类成员变量

(1)getDeclaredFields 方法

 (2)getFields 方法

(3)getDeclaredField 方法

 (4)getField 方法

(四)不安全的反射

前言:

Java 反射机制可以无视类方法、变量去访问权限修饰符(如 protected private
等),并且可以调用任何类的任意方法、访问并修改成员变量值。换而言之,在能够
控制反射的类名、方法名和参数的前提下,如果我们发现一处 Java 反射调用漏洞,
则攻击者几乎可以为所欲为。

(一)

了解本专栏 订阅专栏 解锁全文 超级会员免费看
@Camelus
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Java代码审计前置知识——SpringBoot基础
m0_61506558的博客
10-29 1054
(一)SpringBoot简介(一)SpringBoot简介1.1 回顾什么是SpringSpring是一个开源框架,2003 年兴起的一个轻量级的Java 开发框架,作者:Rod Johnson。1.2 Spring是如何简化Java开发的为了降低Java开发的复杂性,Spring采用了以下4种关键策略:1、基于POJO的轻量级和最小侵入性编程,所有东西都是bean;2、通过IOC,依赖注入(DI)和面向接口实现松耦合;3、基于切面(AOP)和惯例进行声明式编程;
安全java 反射
Gouph的专栏
04-26 1839
Description 该漏洞是因为在Java或者C#语言中使用反射机制安全方面考虑不周所致。 攻击者可以在应用中创建开放者预料之外的控制流路径,从而可能绕过了访问控制等安全机制。对漏洞的利用可能会造成代码注入等危害。 Risk Factors 如果一个攻击者提供的输入用于应用确定实例化什么类或者执行什么方法,那么就有可能构造出开发者设定之外的控制流路径。精心设计的攻击向...
20200301 反射机制 jsp
qq_42434346的博客
03-02 266
1.什么是反射 就是可以在程序运行的时候动态装载类,查看类的信息,生成对象,或者操作生成对象。还可以得到类的信息并且操作修改这些信息。 2.反射机制的作用 在运行代码时判断任意一个对象所属的类;在运行时构造任意一个类的对象;在运行时判断任意一个类所具有的成员变量和方法。 3.什么是 java 序列化?什么情况下需要序列化? 序列化:将java对象转换成字节流的过程 反序列化:讲字节流转换成java对象的过程 当java对象需要在网络上传输或者持久化存储到文件中时,就需要对java对象进行序列化处理 4.动态
JAVA-不安全反射--RCE
最新发布
weixin_48421613的博客
05-17 715
JAVA安全反射造成的RCE小案例
Java单例---反射攻击单例和解决方法
suwenlai的博客
06-18 218
在静态内部类中引出了反射攻击的问题,本篇就来说一下反射攻击,废话不多少说上代码: import java.lang.reflect.Constructor; import java.lang.reflect.InvocationTargetException; public class Test1 { public static void main(String[] args) th...
Java代码审计-Java反射机制
as you know, nlp is fantasitc!
06-24 383
在程序运行时,对于任意一个类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意一个方法和属性。这种动态的获取信息以及动态调用对象的方法的功能称为 java反射机制。类 主要方法是,Runtime可以调用exec()方法执行命令;​ 每个java程序中都有一个Runtime实例,这个Runtime实例调用getRuntime方法,返回Runtime对象,这个对象拥有exec执行命令的方法获取类的对象 构造任意类的对象 调用任意实例对象的方法: 一段利用反射构建的具有
完整的Java代码审计学习笔记资源(免费下载)
10-31
.gitignore 第一的 4年前 自述文件.md 添加一些关于 jndi 的内容 3年前 java代码审计-sqli.md 第一的 4年前 ...java代码审计-环境搭建+前置知识.md 第一的 4年前 java代码审计-表达式注入.md 第一的
Java安全代码审计介绍及扫描工具Fortify详解
06-12
本节课程是为后续Java代码审计课程的铺垫课程,本节课程中详细介绍了什么是Java安全代码审计Java代码审计需要的前置知识等介绍性的内容,同时也给大家介绍了一款专门用于Java代码审计的扫描工具Fortify,该工具在...
JAVA架构师_前置知识.zip
09-09
JAVA架构师_前置知识.zip JAVA架构师_前置知识.zip JAVA架构师_前置知识.zip JAVA架构师_前置知识.zip JAVA架构师_前置知识.zip JAVA架构师_前置知识.zip JAVA架构师_前置知识.zip
Java代码规范详细版.doc
10-11
Java代码规范是编程实践中至关重要的指导原则,旨在提高代码的可读性、可维护性和团队协作效率。以下是对Java代码规范的详细说明: 1. **标识符命名规范**: - **统一**:确保在整个项目中,对于相同的概念或实体...
Java AOP知识详细介绍
08-31
总的来说,Java AOP是Spring框架的重要组成部分,通过声明式方式简化了如事务管理等跨切面关注点的处理,提高了代码的可读性和可维护性。理解并熟练运用AOP,能帮助开发者更高效地设计和实现复杂的系统。
java反射 安全_浅谈Java反射
weixin_32900811的博客
02-25 816
总所周知,Java语言是完全面向对象的。类对属性和方法进行封装,通过访问修饰符提供外界可访问的权限。但是通过反射可以获取类中的任何信息,包括私有信息。那么对于类而言,反射岂不是破坏了类的封装性和安全性。如果是这样,java安全吗?反射影响了java安全性吗?反射,更像是虚拟机跟开发者的一个后门。网友1的回答:反射,可以通过setAccessible方法使权限可以访问public,protect...
Java安全第一篇 | 反射看这一篇就够了
weixin_48202759的博客
03-21 3572
什么是反射? 文章首发个人公众号 《小艾搞安全Java安全可以从反序列化漏洞说起,反序列化漏洞又可以从反射说起。反射是⼤多数语⾔⾥都必不可少的组成部分,对象可以通过反射获取他的类,类可以通过反射拿到所有⽅法(包括私有),拿到的⽅法可以调⽤,总之通过“反射”,我们可以将Java这种静态语⾔附加上动态特性。可能说完这一两句话大家还是不知道反射是个啥玩意,现在为了让大家容易理解,先为大家提出一个需求,通过这个需要来引出反射。需求如下: 根据配置文件re.properties指定信息,创建对象并调用方法。 cl
java反射与漏洞风险
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
09-04 2082
文章目录反射漏洞???? 反射 反射java中有不可替代的作用,对象可以通过反射获取他的类,类可以通过反射拿到包含所有私有方法在内的所有方法、属性,并且可以直接使用。 通过获取类的主要三种方法: obj.getClass(): 通过某个类的实例 obj 可以直接获取它的类。 Test.class: 通过已经加载的某个类直接获取它的 class 属性。 Class.forName: 通过类的名字获取到这个类。 举个???? public void execute(String className, St
【入坑JAVA安全Java反射机制
一个安全研究员
04-12 694
不好意思,这里才是开篇~
Java安全 | 反射看这一篇就够了
weixin_68320784的博客
04-07 410
什么是反射? Java安全可以从反序列化漏洞说起,反序列化漏洞又可以从反射说起。反射是大多数语言里都必不可少的组成部分,对象可以通过反射获取他的类,类可以通过反射拿到所有⽅法(包括私有),拿到的⽅法可以调⽤,总之通过“反射”,我们可以将Java这种静态语⾔附加上动态特性。可能说完这一两句话大家还是不知道反射是个啥玩意,现在为了让大家容易理解,先为大家提出一个需求,通过这个需要来引出反射。需求如下: 根据配置文件re.properties指定信息,创建对象并调用方法。 classfullpath=co
java 反射 安全_java学习-反射-安全性检查
weixin_29123281的博客
02-21 201
对于"java.lang.reflect.AccessibleObject",其子类包含 field / executable(java8,其子类包含 method/constructor);/*** Set the {@code accessible} flag for this object to* the indicated boolean value. A value of {@code...
Java进阶:访问控制权限
璃白的博客
01-31 581
访问控制权限 访问控制权限:4个 private 私有的 protected 受保护的 default 默认 public 公开的 访问控制修饰符 本类 同包 子类 任意位置 public ✔ ✔ ✔ ✔ protected ✔ ✔ ✔ ✘ 默认 ✔ ✔ ✘ ✘ private ✔ ✘ ✘ ✘ 类的成员不写访问修饰时默认为default。默认对于同一个包中的其他类相当于公开(public),对于不是同一个包中的其他类相当于私有(private)。受保护(protected)
安全学习_开发相关_Java反射机制基础及对安全测试影响
学废了的阿串的博客
09-24 166
Java反射机制基础及对安全测试影响,Java反射机制获取类Class对象,操作类的属性方法
数据结构:java语言 第一章
05-03
第一章课件,英语原版,希望大家喜欢,会继续传以下的章节

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@Camelus

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值