Java设计模式(一):单例模式,防止反射和反序列化漏洞

最新推荐文章于 2023-12-22 17:12:48 发布
最新推荐文章于 2023-12-22 17:12:48 发布
阅读量402 收藏 1
点赞数

http://blog.csdn.net/hardwin/article/details/51477359

一、懒汉式单例模式,解决反射和反序列化漏洞

[java]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. package com.iter.devbox.singleton;  
  2.   
  3. import java.io.ObjectStreamException;  
  4. import java.io.Serializable;  
  5.   
  6. /** 
  7.  * 懒汉式(如何防止反射和反序列化漏洞) 
  8.  * @author Shearer 
  9.  * 
  10.  */  
  11. public class SingletonDemo6 implements Serializable{  
  12.       
  13.     // 类初始化时,不初始化这个对象(延迟加载,真正用的时候再创建)  
  14.     private static SingletonDemo6 instance;  
  15.       
  16.     private SingletonDemo6() {  
  17.         // 防止反射获取多个对象的漏洞  
  18.         if (null != instance) {  
  19.             throw new RuntimeException();  
  20.         }  
  21.     }  
  22.       
  23.     // 方法同步,调用效率低  
  24.     public static synchronized SingletonDemo6 getInstance() {  
  25.         if (null == instance)  
  26.             instance = new SingletonDemo6();  
  27.         return instance;  
  28.     }  
  29.   
  30.     // 防止反序列化获取多个对象的漏洞。  
  31.     // 无论是实现Serializable接口,或是Externalizable接口,当从I/O流中读取对象时,readResolve()方法都会被调用到。  
  32.     // 实际上就是用readResolve()中返回的对象直接替换在反序列化过程中创建的对象。  
  33.     private Object readResolve() throws ObjectStreamException {    
  34.         return instance;  
  35.     }  
  36. }  
  37.   
  38.   
  39. package com.iter.devbox.singleton;  
  40.   
  41. import java.io.FileInputStream;  
  42. import java.io.FileOutputStream;  
  43. import java.io.ObjectInputStream;  
  44. import java.io.ObjectOutputStream;  
  45.   
  46. public class Client2 {  
  47.   
  48.     public static void main(String[] args) throws Exception {  
  49.         SingletonDemo6 sc1 = SingletonDemo6.getInstance();  
  50.         SingletonDemo6 sc2 = SingletonDemo6.getInstance();  
  51.         System.out.println(sc1); // sc1,sc2是同一个对象  
  52.         System.out.println(sc2);  
  53.           
  54.         // 通过反射的方式直接调用私有构造器(通过在构造器里抛出异常可以解决此漏洞)  
  55. /*      Class<SingletonDemo6> clazz = (Class<SingletonDemo6>) Class.forName("com.iter.devbox.singleton.SingletonDemo6"); 
  56.         Constructor<SingletonDemo6> c = clazz.getDeclaredConstructor(null); 
  57.         c.setAccessible(true); // 跳过权限检查 
  58.         SingletonDemo6 sc3 = c.newInstance(); 
  59.         SingletonDemo6 sc4 = c.newInstance(); 
  60.         System.out.println(sc3);  // sc3,sc4不是同一个对象 
  61.         System.out.println(sc4);*/  
  62.           
  63.         // 通过反序列化的方式构造多个对象(类需要实现Serializable接口)  
  64.           
  65.         // 1. 把对象sc1写入硬盘文件  
  66.         FileOutputStream fos = new FileOutputStream("object.out");  
  67.         ObjectOutputStream oos = new ObjectOutputStream(fos);  
  68.         oos.writeObject(sc1);  
  69.         oos.close();  
  70.         fos.close();  
  71.           
  72.         // 2. 把硬盘文件上的对象读出来  
  73.         ObjectInputStream ois = new ObjectInputStream(new FileInputStream("object.out"));  
  74.         // 如果对象定义了readResolve()方法,readObject()会调用readResolve()方法。从而解决反序列化的漏洞  
  75.         SingletonDemo6 sc5 = (SingletonDemo6) ois.readObject();  
  76.         // 反序列化出来的对象,和原对象,不是同一个对象。如果对象定义了readResolve()方法,可以解决此问题。  
  77.         System.out.println(sc5);   
  78.         ois.close();  
  79.     }  
  80.   
  81. }  


二、静态内部类式单例模式(解决反射和反序列化漏洞)

[java]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. package com.iter.devbox.singleton;  
  2.   
  3. import java.io.ObjectStreamException;  
  4. import java.io.Serializable;  
  5.   
  6. /** 
  7.  * 静态内部类实现方式(也是一种懒加载方式) 
  8.  * 这种方式:线程安全,调用效率高,并且实现了延迟加载 
  9.  * 解决反射和反序列化漏洞 
  10.  * @author Shearer 
  11.  * 
  12.  */  
  13. public class SingletonDemo7 implements Serializable{  
  14.       
  15.     private static class SingletonClassInstance {  
  16.         private static final SingletonDemo7 instance = new SingletonDemo7();  
  17.     }  
  18.       
  19.     // 方法没有同步,调用效率高  
  20.     public static SingletonDemo7 getInstance() {  
  21.         return SingletonClassInstance.instance;  
  22.     }  
  23.       
  24.     // 防止反射获取多个对象的漏洞  
  25.     private SingletonDemo7() {  
  26.         if (null != SingletonClassInstance.instance)  
  27.             throw new RuntimeException();  
  28.     }  
  29.       
  30.     // 防止反序列化获取多个对象的漏洞  
  31.     private Object readResolve() throws ObjectStreamException {    
  32.         return SingletonClassInstance.instance;  
  33.     }  
  34. }  
  35.   
  36.   
  37. package com.iter.devbox.singleton;  
  38.   
  39. import java.io.FileInputStream;  
  40. import java.io.FileOutputStream;  
  41. import java.io.ObjectInputStream;  
  42. import java.io.ObjectOutputStream;  
  43. import java.lang.reflect.Constructor;  
  44.   
  45. public class Client3 {  
  46.   
  47.     public static void main(String[] args) throws Exception {  
  48.         SingletonDemo7 sc1 = SingletonDemo7.getInstance();  
  49.         SingletonDemo7 sc2 = SingletonDemo7.getInstance();  
  50.         System.out.println(sc1); // sc1,sc2是同一个对象  
  51.         System.out.println(sc2);  
  52.           
  53.         // 通过反射的方式直接调用私有构造器(通过在构造器里抛出异常可以解决此漏洞)  
  54.         Class<SingletonDemo7> clazz = (Class<SingletonDemo7>) Class.forName("com.iter.devbox.singleton.SingletonDemo7");  
  55.         Constructor<SingletonDemo7> c = clazz.getDeclaredConstructor(null);  
  56.         c.setAccessible(true); // 跳过权限检查  
  57.         SingletonDemo7 sc3 = c.newInstance();  
  58.         SingletonDemo7 sc4 = c.newInstance();  
  59.         System.out.println("通过反射的方式获取的对象sc3:" + sc3);  // sc3,sc4不是同一个对象  
  60.         System.out.println("通过反射的方式获取的对象sc4:" + sc4);  
  61.           
  62.         // 通过反序列化的方式构造多个对象(类需要实现Serializable接口)  
  63.           
  64.         // 1. 把对象sc1写入硬盘文件  
  65.         FileOutputStream fos = new FileOutputStream("object.out");  
  66.         ObjectOutputStream oos = new ObjectOutputStream(fos);  
  67.         oos.writeObject(sc1);  
  68.         oos.close();  
  69.         fos.close();  
  70.           
  71.         // 2. 把硬盘文件上的对象读出来  
  72.         ObjectInputStream ois = new ObjectInputStream(new FileInputStream("object.out"));  
  73.         // 如果对象定义了readResolve()方法,readObject()会调用readResolve()方法。从而解决反序列化的漏洞  
  74.         SingletonDemo7 sc5 = (SingletonDemo7) ois.readObject();  
  75.         // 反序列化出来的对象,和原对象,不是同一个对象。如果对象定义了readResolve()方法,可以解决此问题。  
  76.         System.out.println("对象定义了readResolve()方法,通过反序列化得到的对象:" + sc5);   
  77.         ois.close();  
  78.     }  
  79.   
  80. }  

00u0o
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
单例模式防止攻击(反射攻击)
msy7788的博客
10-25 1536
这几天看了几篇java单例模式,以前也看过很多java单例的创建什么的,也知道怎么创建这些单例,比如懒汉啊、饿汉啊、枚举啊什么的,但是一直就是不明白为什么单例就是安全的,为什么懒汉和饿汉就没有枚举安全? 直到这几天看点儿多线程的东西才发现,多线程里面要求全局变量是固定的,不可变得(为什么?)。举个例子:买票的时候,有三个窗口,同时去卖票。这三个窗口的售票员都要从统一的地方去取票,这统一的地方其...
反射破坏单例模式以及怎样防御
小灰狼与大白兔的博客
12-05 7283
先贴几个比较全的java反射博客 Java反射:用最直接的大白话来聊一聊Java中的反射机制 Java基础之—反射(非常重要) Java反射技术详解 前面介绍的单例模式的实现方式: 设计模式单例模式 单例模式的设计在于只保留一个公有静态函数来获取唯一的实例,其他方法(构造函数)或字段为私有,外界不能访问。 而java反射则突破了构造函数私有的限制,可以获取单例类的私有构造函数并使用。 //得到该类在内存中的字节码对象 Class objectClass = Class.forName("com.xt
单例模式以及防止反射破坏
qq_40262372的博客
09-01 929
一、为何要单例? 优点: 1.单例模式保证java应用程序中,一个类Class只有一个实例在,使用单例模式好处在于可以节省内存,节约资源,对于一般频繁创建和销毁对象的可以使用单例模式。 因为它限制了实例的个数,有利于java垃圾回收。好的单例模式也能提高性能。例如:数据库连接池、httpclient连接单例 缺点: 1.单例的缺点不适用于变化的对象,如果同一类型的对象总是要在不同的用例场景发生变化,单例就会引起数据的错误,不能保存彼此的状态。 2.单例模式的构造函数是静态的,不能被子类继承。 .
设计模式单例模式六(防反射攻击)
Wenlong_L的博客
09-22 1991
一、防反射攻击 在单例模式的设计过程中,我们说过很关键的一点是一定要将构造器设计为私有构造器,因为这样可以防止从外部构造对象。但是这样真的就会安全吗,答案肯定是不一定的。我们知道通过反射我们可以获取类中的域、方法、构造器,可以修改他们的访问权限,这样可以通过反射构造对象。如下所示: 上面的例子就是一个反射破坏的例子,针对的是恶汉式的单例模式,我们可以稍作修改防止这种反射攻击: ...
Java设计模式单例模式以及如何防止通过反射破坏单例模式
weixin_51311741的博客
12-22 1562
​ 什么是单例模式?保障一个类只能有一个对象(实例)的代码开发模式就叫单例模式​ 什么时候使用?工具类!(一种做法,所有的方法都是static,还有一种单例模式让工具类只有一个实例) 某类工厂(SqlSessionFactory)
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
Java反序列化漏洞静态分析与动态验证研究与实现
最新发布
04-10
随着互联网应用的兴起, Java的类库越来越多, 导致反序列化漏洞的类型和数量都急剧上升。 Java反序列化漏洞中存在利用链, 攻击者通常将其与任意命令漏洞结合控制服务器。人工检测反序列化链需要花费大量的精力, ...
Java反序列化漏洞介绍书籍
08-17
专业介绍Java反序列化漏洞知识,攻防技术
java反序列化漏洞-验证.rar
06-25
java反序列化漏洞-验证jar
单例模式反射漏洞反序列化漏洞代码实例
08-26
主要介绍了单例模式反射漏洞反序列化漏洞,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
单例模式防止反射反序列化漏洞
帅性而为1号的博客
06-29 2370
一、懒汉式单例模式,解决反射反序列化漏洞 [java] view plain copy   package com.iter.devbox.singleton;      import java.io.ObjectStreamException;   import java.io.Serializable;      /**   * 
单例防止反射漏洞攻击
mrzhang1520的博客
01-19 481
在构造函数中,只允许初始化一次即可解决。 public class Singleton { private static boolean flag=false; private static Singleton instance=null; private Singleton(){ if(flag==false){ flag=!f...
单例模式如何防止反射攻击
m0_50654102的博客
06-03 777
单例模式例子: public class Single { private Single () {//私有化构造方法 } private static volatile Single instance = null; public static synchronized Single getInstance() { if(instance==null){ instance = new Single();//在此方法内创建对象
网络安全课第六节 反序列化漏洞的检测与防御
fegus的博客
07-11 3346
上一讲介绍了 XXE 漏洞,它在业务场景中很容易用于读取敏感文件、进行代码执行,甚至也会用来渗透内网,也因此 XXE 漏洞常被当作一种严重漏洞来对待。本讲我将介绍另一种常用来实现远程代码执行的漏洞类型——反序列化漏洞,这几年经常出现在 Java 公共库,比如阿里的 fastjson,还有一些 Java 应用服务器,比如 JBoss。PHP 也有反序列化,比如著名的 Joomla 内容管理系统很多编程语言都有这种反序列化功能,若对反序列化的数据未做有效过滤和限制,就可能导致这种漏洞的产生。下面我就详细给你介绍
如何防止单例模式JAVA反射攻击
热门推荐
朱小厮的博客
01-15 1万+
欢迎支持笔者新作:《深入理解Kafka:核心设计与实践原理》和《RabbitMQ实战指南》,同时欢迎关注笔者的微信公众号:朱小厮的博客。 单例模式相信大家都知道,用过的人不在少数。之前写过一篇博文《singleton模式四种线程安全的实现》(参见:http://blog.csdn.net/u013256816/article/details/50427061),讲诉了单例模式...
防止weblogic反序列化漏洞的好处
05-28
1. 防止黑客利用反序列化漏洞进行攻击:反序列化漏洞是一种常见的安全漏洞,黑客可以利用这种漏洞来执行恶意代码,从而导致系统被攻击。防止weblogic反序列化漏洞可以有效地防止黑客利用这种漏洞进行攻击。 2. 提高...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值