java 防止反射_Java设计模式(一):单例模式,防止反射和反序列化漏洞

最新推荐文章于 2022-12-10 10:57:48 发布
最新推荐文章于 2022-12-10 10:57:48 发布
阅读量662 收藏
点赞数
文章标签: java 防止反射
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35879989/article/details/114120305
版权

一、懒汉式单例模式,解决反射和反序列化漏洞

package com.iter.devbox.singleton;

import java.io.ObjectStreamException;

import java.io.Serializable;

/**

* 懒汉式(如何防止反射和反序列化漏洞)

* @author Shearer

*

*/

public class SingletonDemo6 implements Serializable{

// 类初始化时,不初始化这个对象(延迟加载,真正用的时候再创建)

private static SingletonDemo6 instance;

private SingletonDemo6() {

// 防止反射获取多个对象的漏洞

if (null != instance) {

throw new RuntimeException();

}

}

// 方法同步,调用效率低

public static synchronized SingletonDemo6 getInstance() {

if (null == instance)

instance = new SingletonDemo6();

return instance;

}

// 防止反序列化获取多个对象的漏洞。

// 无论是实现Serializable接口,或是Externalizable接口,当从I/O流中读取对象时,readResolve()方法都会被调用到。

// 实际上就是用readResolve()中返回的对象直接替换在反序列化过程中创建的对象。

private Object readResolve() throws ObjectStreamException {

return instance;

}

}

package com.iter.devbox.singleton;

import java.io.FileInputStream;

import java.io.FileOutputStream;

import java.io.ObjectInputStream;

import java.io.ObjectOutputStream;

public class Client2 {

public static void main(String[] args) throws Exception {

SingletonDemo6 sc1 = SingletonDemo6.getInstance();

SingletonDemo6 sc2 = SingletonDemo6.getInstance();

System.out.println(sc1); // sc1,sc2是同一个对象

System.out.println(sc2);

// 通过反射的方式直接调用私有构造器(通过在构造器里抛出异常可以解决此漏洞)

/*Classclazz = (Class) Class.forName("com.iter.devbox.singleton.SingletonDemo6");

Constructorc = clazz.getDeclaredConstructor(null);

c.setAccessible(true); // 跳过权限检查

SingletonDemo6 sc3 = c.newInstance();

SingletonDemo6 sc4 = c.newInstance();

System.out.println(sc3); // sc3,sc4不是同一个对象

System.out.println(sc4);*/

// 通过反序列化的方式构造多个对象(类需要实现Serializable接口)

// 1. 把对象sc1写入硬盘文件

FileOutputStream fos = new FileOutputStream("object.out");

ObjectOutputStream oos = new ObjectOutputStream(fos);

oos.writeObject(sc1);

oos.close();

fos.close();

// 2. 把硬盘文件上的对象读出来

ObjectInputStream ois = new ObjectInputStream(new FileInputStream("object.out"));

// 如果对象定义了readResolve()方法,readObject()会调用readResolve()方法。从而解决反序列化的漏洞

SingletonDemo6 sc5 = (SingletonDemo6) ois.readObject();

// 反序列化出来的对象,和原对象,不是同一个对象。如果对象定义了readResolve()方法,可以解决此问题。

System.out.println(sc5);

ois.close();

}

}

二、静态内部类式单例模式(解决反射和反序列化漏洞)

package com.iter.devbox.singleton;

import java.io.ObjectStreamException;

import java.io.Serializable;

/**

* 静态内部类实现方式(也是一种懒加载方式)

* 这种方式:线程安全,调用效率高,并且实现了延迟加载

* 解决反射和反序列化漏洞

* @author Shearer

*

*/

public class SingletonDemo7 implements Serializable{

private static class SingletonClassInstance {

private static final SingletonDemo7 instance = new SingletonDemo7();

}

// 方法没有同步,调用效率高

public static SingletonDemo7 getInstance() {

return SingletonClassInstance.instance;

}

// 防止反射获取多个对象的漏洞

private SingletonDemo7() {

if (null != SingletonClassInstance.instance)

throw new RuntimeException();

}

// 防止反序列化获取多个对象的漏洞

private Object readResolve() throws ObjectStreamException {

return SingletonClassInstance.instance;

}

}

package com.iter.devbox.singleton;

import java.io.FileInputStream;

import java.io.FileOutputStream;

import java.io.ObjectInputStream;

import java.io.ObjectOutputStream;

import java.lang.reflect.Constructor;

public class Client3 {

public static void main(String[] args) throws Exception {

SingletonDemo7 sc1 = SingletonDemo7.getInstance();

SingletonDemo7 sc2 = SingletonDemo7.getInstance();

System.out.println(sc1); // sc1,sc2是同一个对象

System.out.println(sc2);

// 通过反射的方式直接调用私有构造器(通过在构造器里抛出异常可以解决此漏洞)

Classclazz = (Class) Class.forName("com.iter.devbox.singleton.SingletonDemo7");

Constructorc = clazz.getDeclaredConstructor(null);

c.setAccessible(true); // 跳过权限检查

SingletonDemo7 sc3 = c.newInstance();

SingletonDemo7 sc4 = c.newInstance();

System.out.println("通过反射的方式获取的对象sc3:" + sc3); // sc3,sc4不是同一个对象

System.out.println("通过反射的方式获取的对象sc4:" + sc4);

// 通过反序列化的方式构造多个对象(类需要实现Serializable接口)

// 1. 把对象sc1写入硬盘文件

FileOutputStream fos = new FileOutputStream("object.out");

ObjectOutputStream oos = new ObjectOutputStream(fos);

oos.writeObject(sc1);

oos.close();

fos.close();

// 2. 把硬盘文件上的对象读出来

ObjectInputStream ois = new ObjectInputStream(new FileInputStream("object.out"));

// 如果对象定义了readResolve()方法,readObject()会调用readResolve()方法。从而解决反序列化的漏洞

SingletonDemo7 sc5 = (SingletonDemo7) ois.readObject();

// 反序列化出来的对象,和原对象,不是同一个对象。如果对象定义了readResolve()方法,可以解决此问题。

System.out.println("对象定义了readResolve()方法,通过反序列化得到的对象:" + sc5);

ois.close();

}

}

小杨说电影
关注
java安全策略 禁止反射_初探java安全之反射
weixin_42364833的博客
02-16 2356
什么是反射反射机制在java中可以说是非常强大的,很多优秀的开源框架都是通过反射完成的。在java的运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法,都能够调用它的任意一个方法和属性,这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。下面介绍下基于反射技术的函数方法。与反射相关的,其实主要就是几个关键的函数方法。可以先从这一段简单的代码看起public void...
java 防止反射_Java 反射机制详解
weixin_35626356的博客
02-25 1050
动态语言动态语言,是指程序在运行时可以改变其结构:新的函数可以被引进,已有的函数可以被删除等在结构上的变化。比如众所周知的ECMAScript(JavaScript)便是一个动态语言。除此之外如Ruby、Python等也都属于动态语言,而C、C++等语言则不属于动态语言。(引自: 百度百科)varexecString="alert(Math.floor(Math.random()*10));...
java反射_java防止反射破坏单例模式
weixin_32516005的博客
02-28 316
我们都知道单例模式是为了实现只创建一个实例,但是java反射机制可以破坏这种单例模式,这种通过反射来破坏单例的例子网上多的是,我就不列出来了,今天我们来说说怎么防止使用java反射机制来破坏单例,查了查网上有很多是在单例的类中增加一个boolean类型的flag,然后在构造函数中来改变flag的值,然后再调用构造函数的时候判断这个flag是否已经改变了,这样来防止重复创建对象实例,当看到这种...
java 防止反射_如何防止JAVA反射对单例类的攻击?
weixin_30849865的博客
02-13 414
在我的上篇随笔中,我们知道了创建单例类有以下几种方式:(1).饿汉式;(2).懒汉式(、加同步锁的懒汉式、加双重校验锁的懒汉式、防止指令重排优化的懒汉式);(3).登记式单例模式;(4).静态内部类单例模式;(5).枚举类型的单例模式。在上面的5种实现方式中,除了枚举类型外,其他的实现方式是可以被JAVA反射机制给攻击的,即使他的构造方法是私有化的,我们也可以做一下处理,从外部得到它的实例。下面...
java禁止反射
mlh532354163的博客
03-18 2557
转载:https://blog.csdn.net/weixin_33774883/article/details/93570419 SecurityManager 有一个checkMemberAccess这个方法可以阻止利用反射; 如: SecurityManager sm = new SecurityManager(); sm.checkMemberAccess(Test.clas...
Java设计模式(一):单例模式防止反射反序列化漏洞
Happy in Code
05-22 8489
一、懒汉式单例模式,解决反射反序列化漏洞 package com.iter.devbox.singleton; import java.io.ObjectStreamException; import java.io.Serializable; /** * 懒汉式(如何防止反射反序列化漏洞) * @author Shearer * */ public class Singleto
Java设计模式单例模式
CK_self的博客
08-25 158
单例模式 保证一个类只有一个实例,并且提供一个访问该实例的全局访问点。 单例设计模式主要关心的几个点: 1.延迟加载 2.线程安全 3.效率 特点 该类在全局只有一个实例。 只提供一个访问该实例的全局访问点。 应用场景 Windows 的任务管理器 就是最典型的单例模式 Windows 的回收站也是典型的单例应用 项目中,读取配置文件的类,一般也只有一个对象,没必要每次使用配置文...
Java中高级面试题总览(一)
热门推荐
击水三千里的专栏
03-29 2万+
高频面试题深入剖析
2022年Java 工程师面试题
weixin_42572320的博客
03-03 2607
第 1 页 共 485 页 目录 1、什么是 Mybatis?............................................................................... 33 2、Mybaits 的优点:............................................................................... 33 3、MyBatis 框架的缺点:.............................
2022年各大企业java面试题解析,堪称全网最详细的java面试指南
最新发布
Park33的博客
12-10 1170
最近感慨面试难的人越来越多了,一方面是市场环境,更重要的一方面是企业对Java的人才要求越来越高了。​基本上这样感慨的分为两类人,第一,虽然挂着3、5年经验,但肚子里货少,也没啥拿得出手的项目,自己还意识不到问题;第二,自身有技术追求,但欠点儿火候,多练习多吸收知识,锤炼一下问题不大。说实话,从打算跳槽到准备简历再到初期面试,很多人其实都处于“心虚”的状态。你回忆一下,是不是盯着简历上的“了解、熟悉、掌握、精通”这几个词都得琢磨好久?写了精通吧,又开始担心面试官超岗发挥。
谈谈Java中的反射机制
12-20
前言 在使用框架进行开发时,我们的开发速度大大提升。我们感叹于它的神奇之处,我们使用它的时候,也要知道其“灵魂”。正所谓,无反射,不框架,框架的灵魂就是反射。 另外,我们在eclipse或者IDEA中编辑Java代码时,它们是怎么知道我们的对象有哪些方法,输入一个点就能给提示呢? 带着问题我们来谈谈反射。 概念 反射:是将一个类的各个部分封装为其他对象,这就是反射机制。 看着上面文邹邹的话语,想必大家并没有理解啥是反射。下面我们来通过一个例子来进行讲解。 我们来看一下我们的Java代码在计算机中经历的几个阶段: 第一个阶段:源代码阶段 首先,我们定义一个猫的类,包含名字,年龄,无参和全参构造方
Java比较简单的单例模式防止反射
ITRider的专栏
10-12 217
public abstract class Test { private Test(){ } private static abstract class Demo { private final static Test INSTANCE = new Test() {}; } public static Test getInstance(){ return Demo.INSTANCE; } public void.
如何防止单例模式JAVA反射攻击
XINJing的专栏
08-19 996
单例模式相信大家都知道,用过的人不在少数。之前写过一篇博文《singleton模式四种线程安全的实现》(参见:http://blog.csdn.net/u013256816/article/details/50427061),讲诉了单例模式的四种写法,并指出占位符模式的写法比较ok,详见如下: [java] view plain copy pac
单例模式 -防止反射
program_sheet的博客
08-31 179
反射、单例
Java基础-单例防反射
MatrixMind的博客
03-26 565
1.单例的优势 单例模式(Singleton Pattern)是 Java 中创建型模式中最简单的设计模式,它提供了一种创建对象和访问对象以及减少资源重复创建的极佳的方式。 这种模式涉及到一个单一的类或者单一的内部类,该类负责创建同时确保只有该类的唯一对象被创建。这个类提供了以类名访问该对象的访问方式。 既然单例模式这么多优点那么我们怎么设计单例模式呢。 1.我们需要知道对象的创建有哪几种方式: new一个对象,反射newinstance(), 反序列化ObjectInputStream() 2
java安全策略 禁止反射,Java中的类型安全方法反射
weixin_32307987的博客
02-16 190
Is any practical way to reference a method on a class in a type-safe manner? A basic example is if I wanted to create something like the following utility function:public Result validateField(Object d...
java学习笔记-设计模式单例模式如何防止反射反序列化漏洞
学渣程序员的博客
11-22 986
在前一篇文章中,对单例模式列举了五种实现方式。其中枚举模式拥有出生光环,天生就没有反射反序列化漏洞。针对其他四种实现方式,在本篇文章中对懒汉式单例模式实现进行反射反序列化漏洞测试。 一、通过反射破解懒汉式单例模式 重新创建测试类TestClientNew,通过反射获取到类,使用newInstance进行初始化。代码如下(详细看注释): package com.zwh.gof23.sin...
开源软件没你想象中那么安全,Java 开发者尤其要警惕
weixin_34061555的博客
02-28 345
Snyk 今天发布了2019年开源安全现状调查报告,这是一家针对开源项目提供安全服务的知名公司。 前言 为了更好地了解开源领域的安全现状,以及我们该如何让开源世界的安...
Java单例防反序列化,防反射,防clone
csm_qz的专栏
04-23 709
单例是我们程序运行过程中只存在唯一的一个实例,对于唯一性的保证如何做到。 1.防反射 首先我们看一个单例的例子public class Instance { private static Instance INSTANCE; private Instance(){} public static Instance getInstance() { i
Java与Jackson反序列化漏洞深度解析
"深入解析JAVA及Jackson反序列化漏洞" 本文主要探讨了Java和Jackson库的反序列化原理,以及相关的安全问题。Java反序列化是一个关键的编程概念,它允许将对象的状态转换为字节流,以便存储或在网络中传输,然后在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值