C05 单例模式 Enum枚举单例(一) 抗序列化攻击分析

最新推荐文章于 2021-08-17 13:45:30 发布
最新推荐文章于 2021-08-17 13:45:30 发布
阅读量138 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33669968/article/details/88889874
版权

枚举单例的抗序列化攻击演示(一)

public enum EnumInstance {

    INSTANCE;

    private Object data;

    public Object getData() {
        return data;
    }

    public void setData(Object data) {
        this.data = data;
    }

    public static EnumInstance getInstance() {
        return INSTANCE;
    }

}

import java.io.*;

public class Test {

    public static void main(String[] args) throws Exception {
        serializableAttack();
    }

    public static void serializableAttack() throws Exception {
        EnumInstance instance = EnumInstance.getInstance();

        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("enum_singleton_file"));
        oos.writeObject(instance);

        File file = new File("enum_singleton_file");
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(file));

        EnumInstance newInstance = (EnumInstance)ois.readObject();

        System.out.println(instance);
        System.out.println(newInstance);
        System.out.println(instance == newInstance);
    }

}

输出:

INSTANCE
INSTANCE
true

枚举单例的抗序列化攻击演示(二)

  • 持有date的单例枚举实例;
public class Test {

    public static void main(String[] args) throws Exception {
        serializableAttack2();
    }

    public static void serializableAttack2() throws Exception {
        EnumInstance instance = EnumInstance.getInstance();
        instance.setData(new Object());

        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("enum_singleton_file"));
        oos.writeObject(instance);

        File file = new File("enum_singleton_file");
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(file));

        EnumInstance newInstance = (EnumInstance)ois.readObject();

        System.out.println(instance.getData());
        System.out.println(newInstance.getData());
        System.out.println(instance.getData() == newInstance.getData());
        System.out.println(instance == newInstance);
    }

}

输出:

java.lang.Object@14514713
java.lang.Object@14514713
true
true

枚举单例抗序列化攻击源码分析

  • 在反序列化的时候,通过描述符desc拿到了待反序列化的枚举(EnumInstance)的Class类型c1;
  • readString(false) 又拿到了待序列化的枚举类中枚举实例(INSTANCE)的名字name;

  • 根据Enum.valueOf(Class, String) 就可以取到 EnumInstance 中的 INSTANCE 实例,其原理类似于 readResolve() 方法的添加;


    8195388-f24d59ca9b4d3cd8.png
    1.png
乌鲁木齐001号程序员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3087
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
Linux系统调试课:Oops 日志分析
最新发布
内核笔记
04-11 791
📢编写代码并不总是内核开发中最难的方面。 调试是真正的瓶颈,即使对于经验丰富的内核开发人员也是如此。 也就是说,大多数内核调试工具都是内核本身的一部分。 有时,内核通过称为Oops的消息帮助查找故障的起因。 然后,调试归结为分析消息。
诚之和:Java基础知识枚举Enum类介绍以及案例使用详解
weixin_45378258的博客
08-17 397
Java语言中的数据类型可以分为两大类,分别是基本数据类型和引用数据类型。本篇文章要介绍的枚举,就是属于Java的引用数据类型。下面,将为大家详细介绍Java中的枚举,以及具体的使用案例。 一、文章序言 Java中引用类型:数组、类、接口、枚举、注解 枚举这个既熟悉又陌生的东西具体再哪里可以使用呢? 什么是枚举枚举是一个引用类型,枚举就是一个规定了取值范围的变量类型。 枚举变量不能使用其他的数据,只能使用枚举中常量赋值。提高程序安全性; //格式: public enum 枚举名{
设计模式之单例模式Enum枚举和容器单例
weixin_43689040的博客
12-17 345
Enum枚举单例 具有天然序列化机制 public enum EnumInstance { INSTANCE; private Object data; public Object getData() { return data; } public void setData(Object data) { this.dat...
单例模式
杨小熊学习笔记
09-15 586
本文github地址: https://github.com/YoungBear/MyBlog/blob/master/Singleton.md  单例模式是一种常用的软件设计模式。在它的核心结构中只包含一个被称为单例的特殊类。通过单例模式可以保证系统中一个类只有一个实例。1. 单例模式的用途  单例模式主要是为了避免因为创建了多个实例造成资源的浪费,且多个实例由于多次调用容易导致结果出现错误,
枚举实现单例模式可避免序列化和反射攻击
ていひんのブログ
11-18 438
  枚举类型天然的可序列化机制,能够强有力的保证不会出现多次实例化的情况,即使在复杂的序列化或者反射攻击的情况下,枚举类型的单例模式都没有问题。枚举类型的单例可能是实现单例模式中的最佳实践,《Effcetive Java》这本书也是强力推荐这种写法。 1、枚举实现单例模式 public enum EnumInstance { INSTANCE; private Object dat...
Java枚举类型
Alvin_hcf的Blog
04-02 289
枚举 枚举为什么可以实现单例 如果是枚举类型,则不能通过反射创建枚举对象! 那我们试试,是否是真的: enum EnumSingle{ INSTANCE; public EnumSingle getInstance(){ return INSTANCE; } } class Test{ public static void main(String[] args) throws NoSuchMethodException, IllegalAccessException, InvocationT
<x86汇编语言 从实模式到保护模式>配套源码及工具
11-24
《x86汇编语言 从实模式到保护模式》是一本深入探讨x86架构汇编编程的经典著作,它涵盖了计算机系统从启动到运行的底层机制,特别是从实模式过渡到保护模式的过程。配套源码及工具为读者提供了实践和理解书中理论的...
C05信息资源的技术手段2.pptx
05-09
C05信息资源的技术手段
单片机与DSP中的精工爱普生车载高速USB 2.0控制器S2R72C05开始送样
11-29
精工爱普生公司推出的S2R72C05是一款专为车载应用设计的高速USB 2.0控制器,其主要目标市场是汽车导航系统。这款产品是S1R72V系列的新成员,旨在提供更高效、稳定的数据传输性能,以及优化的能效,以满足车载环境的...
Java设计模式-创建型-单例模式(二)
xiaozhu2hao的专栏
05-19 329
Enum枚举单例 实现单例的核心在于private私有化类中的构造方法,在枚举中的构造方法必须是私有的,这就为枚举来实现单例奠定了基础。 枚举类天然的可序列化机制,能够保证不会出现多次实例化的情况。 序列化是否破坏单例模式测试代码 public enum EnumInstance { INSTANCE; public static EnumInstance getInstance() { return INSTANCE; } public
重新认识java(十) ---- Enum枚举类)
mystery的博客
02-13 6万+
有的人说,不推荐使用枚举。有的人说,枚举很好用。究竟怎么使用,如何使用,仁者见仁智者见智。总之,先学会再说~
java enum实现的单例
小菜鸟的Blog
11-05 2063
为了防止通过反序列化得到多个对象,EJ提倡使用enum实现单例: 关于枚举的对象为什么可以反序列化:可以看Enum类的如下方法: Java代码 /** * prevent default deserialization */ private void readObject(ObjectInputStream in) throws IOException,
Java高级系列——枚举Enums)
Ron.Zheng
01-12 2万+
一、介绍 本系列文章的这一部分我们将会介绍Java 5版本之后引入的除泛型之外的另外一个强大特性:枚举。可以将枚举看成一种特殊的类,并且可以将注解看成一种特殊的接口。 枚举的思想很简单,也很方便:它代表了一组固定的常量值。实际上,枚举经常用来设计一些状态常量。比如,星期几就是枚举的一个最好例子,因为他们被限制在周一、周二、周三、周四、周五、 周六和周日。 二、枚举作为特殊的类 在枚举被引入
使用枚举enum实现单例模式
jameswu525的博客
07-26 2401
单例模式的实现: 1, 普通模式: public class SingleDemo { private static SingleDemo instance; private SingleDemo() {} public SingleDemo getInstance() { if (instance == null) { instance = new SingleDem
对Java Serializable(序列化)的理解和总结
热门推荐
非淡泊无以明志,非宁静无以致远
11-11 8万+
我对Java Serializable(序列化)的理解和总结 博客分类:  Java技术 JavaOSSocketCC++  1、序列化是干什么的?        简单说就是为了保存在内存中的各种对象的状态(也就是实例变量,不是方法),并且可以把保存的对象状态再读出来。虽然你可以用你自己的各种各样的方法来保存object states,但是Java给你提供一种应该比你自己
设计模式1,单例模式
draymond7107的博客
07-30 215
1:类的加载顺序 先执行父类的静态代码块和静态变量初始化,静态代码块和静态变量的执行顺序跟代码中出现的顺序有关。 执行子类的静态代码块和静态变量初始化。 执行父类的实例变量初始化 执行父类的构造函数 执行子类的实例变量初始化 执行子类的构造函数 2:单例模式:饿汉式 /** * 单例模式:饿汉式 * 类加载的时候就完成了实例化 * 优点:没有线程的安全的问题 * 缺点:类的实例没有使用的时候就会创建,占用内存 */ public class SingleMod
java中用enum实现单例模式
梦想成真那天
04-27 599
java中用enum实现单例模式的代码如下:public enum Singleton { INSTANCE;// 唯一实例public void print() { System.out.println("使用enum实现单例模式"); }// public static Singleton getInstance() { // return INSTANCE; // }publ
为什么要用枚举实现单例模式(避免反射、序列化问题)
u011277123的博客
02-26 1392
1 引言 相信如果能看到我这篇博客的小伙伴,肯定都看过Joshua Bloch大神说过的这句话:“单元素的枚举类型已经成为实现Singleton的最佳方法”。其实,第一次读到这句话,我连其中说的单元素指什么都不知道,尴尬。后来,网上看了搜索了好几篇文章,发现基本上都是转载自相同的一篇文章,而我的困惑是“为什么要用枚举类型实现单例模式呢”,文章中都说的很笼统,于是决定自己结合Jos...
相机特性设计:针对不同职业群体的个性化分析
首先,研究者使用李克特量表对469个受访者进行了调查,量表涵盖了五个维度(c01-c05和c11-c16),并计算出每个受访者的总分。结果显示,大多数群体的态度偏向积极,平均总分为41,标准差为5.616133。通过因子分析,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值