单例模式反射、序列化漏洞及解决方案!

最新推荐文章于 2023-04-06 11:55:53 发布
最新推荐文章于 2023-04-06 11:55:53 发布
阅读量366 收藏
点赞数
分类专栏: 反射 序列化 文章标签: 反射 序列化
原文链接:https://mp.weixin.qq.com/s/Pk8BIMdiN2miW0fAnc7QPA
版权

使用反射技术来获取不同的实例,以下是一个简单的饿汉式的单例模式的代码实现:

当我们需要获取Singleton对象的时候,直接调用静态方法getInstance就可以了:

但是学过反射的人都知道,通过反射技术也能获取到一个类的实例对象,即使它的构造函数时私有化的,我们也可以通过暴力访问来调用其构造函数,所以以上测试类的运行结果为:

可以看出通过调用getInstance方法获取到的实例是一样的,但是通过反射获取到的实例却是不同的,违反了单例设计模式的思想,那么我们应该怎么解决呢?我们只需要在私有的构造函数中加入一个判断即可:

此时,我们再次启动测试类,获得到以下结果:

当然,就解决了使用反射技术来获取不同实例的问题了。

使用序列化及反序列化技术获取不同的实例:

如果我们的单例类实现了Serializable接口,那么这个类就能进行序列化和反序列化,测试代码如下:

运行结果如下:

我们发现进过序列化及反序列化之后对象的引用就改变了,显然也是违反了单例设计模式的思想的,跟踪readObject源码后,发现这个方法会先写出一个newInstance,然后判断这个对象中是否存在readResolve这个方法,如果不存在,那么直接返回这个newInstance,如果存在,那么就调用readResolve这个方法,将这个方法的返回值返回给readObject.源码片段如下:

由上可知,我们只需要在Singleton这个类中添加一个readResolve这个方法即可。

再次启用测试类,运行结果如下:

作者:Mazin
https://my.oschina.net/u/3441184/blog/884767

zl1zl2zl3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
单例模式反射漏洞和反序列化漏洞代码实例
08-26
单例模式反射漏洞和反序列化漏洞代码实例 单例模式是软件设计模式中一种常用的设计模式,用于限制一个类的实例化次数,确保一个类在整个应用程序中只有一个实例。然而,单例模式存在一些漏洞,例如反射漏洞和反...
java 序列化漏洞怎么解决?
半夏_2021的博客
05-05 1385
java 序列化漏洞怎么解决?
JAVA反序列化漏洞修复解决方法
05-05 2975
MyObject类建立了Serializable模块,而且重新写过了readObject()变量,仅有建立了Serializable模块的类的目标才能够被实例化,沒有建立此模块的类将无法使他们的任意状态被实例化或逆实例化。这儿的readObject()方法的功能是以1个源键入流中载入字节数编码序列,再把他们反序列化为1个目标,并将其回到,readObject()是能够重新写过的,因而能够订制反序...
Java序列化Serializable的N种坑
最新发布
weixin_44421461的博客
04-06 304
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 Elast...
复现java反序列化漏洞的方法
weixin_47623655的博客
03-30 1608
在本文中,我们学习了如何使用ysoserial来生成恶意payload,以及如何利用Python的SimpleHTTPServer模块来搭建一个HTTP服务器来接收Tomcat发送的数据包。当反序列化一个包含恶意代码的序列化数据时,攻击者可以利用该漏洞在目标系统上执行任意代码,导致系统崩溃或数据泄露。通过上面的步骤,我们可以成功地复现Java反序列化漏洞,并在使用ysoserial生成恶意payload之后,我们需要将其发送到目标服务器进行验证漏洞是否存在。接下来,我们需要构造一个包含这个类的序列化数据。
java反序列化漏洞漏洞原理,如何防御此漏洞?如何利用此漏洞
DXfighting_的博客
04-15 2721
漏洞原理: 如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。 漏洞防御: a. 代码审计 反序列化操作一般在导入模版文件、网络通信、数据传输、日志格式化存储、对象数据落磁盘或DB存储等业务场景,在代码审计时可重点关注一些反序列化操作函数并判断输入是否可控,如下: 同时也要关注第三jar包是否提供了一些公共的反序列化操作接口,如果没有相应的安全校验如白名单校验方案,且输入可控的话就
Java序列化序列化原理及漏洞解决方案
08-18
Java序列化序列化原理及漏洞解决方案 Java序列化序列化原理及漏洞解决方案是Java编程语言中的一项重要机制,该机制允许将Java对象转换为字节序列,以便在网络上传输或存储在文件中。同时,Java也提供了反序列化...
Java反序列化回显解决方案.docx
12-19
Java反序列化回显解决方案 Java反序列化回显解决方案是指在Java中,使用反序列化来执行命令,导致RCE(Remote Code Execution)的解决方案。该解决方案主要涉及到Java的反序列化机制和ClassLoader的使用。 首先,...
Android编程设计模式之单例模式实例详解
01-04
本文实例讲述了Android编程设计模式之单例模式。分享给大家供大家参考,具体如下: 一、介绍 单例模式是应用最广的模式之一,也可能是很多初级工程师唯一会使用的设计模式。在应用这个模式时,单例对象的类必须保证...
JAVA反射机制与单例模式
06-09
3. 单例模式可能导致测试困难,因为无法通过构造函数创建对象,可以考虑使用`@Singleton`注解配合依赖注入框架解决。 4. 避免过度使用单例,因为它可能导致紧耦合和难以管理的全局状态。 了解并熟练掌握Java反射...
Java设计模式(一):单例模式,防止反射和反序列化漏洞
Happy in Code
05-22 8432
一、懒汉式单例模式,解决反射和反序列化漏洞 package com.iter.devbox.singleton; import java.io.ObjectStreamException; import java.io.Serializable; /** * 懒汉式(如何防止反射和反序列化漏洞) * @author Shearer * */ public class Singleto
单例模式实现及防止反射序列化
Better_YZQ的博客
07-19 821
单例模式 模式动机 对于系统中的某些类来说,只有一个实例很重要,如一个系统中只有一个计时工具和 ID(序号)生成器。 单例模式适用情况包括:系统只需要一个实例对象;客户调用类的单个实例只允许使用一个公共访问点。 定义 顾名思义,用来保证一个对象只能创建一个实例,除此之外,它还提供了对实例的全局访问方法。 单例模式的要点有三个:一是类只能有一个实例;二是它必须自行创建这个实例;三是它必须自行向整个系统提供这个实例。 实现 为了确保单例实例的唯一性,所有的 单例构造器都要被声明为私有 的,再通过声明 静态方法实
单例模式详解(解决反射序列化问题)
GaoChenXi
08-10 1433
1.饿汉式: package singleton; public class Demo01 { private static Demo01 d=new Demo01(); private Demo01(){ } public static Demo01 getInstance(){ return d; } } 2.懒汉式: package singleton;
单例模式,防止反射和反序列化漏洞
帅性而为1号的博客
06-29 2390
一、懒汉式单例模式,解决反射和反序列化漏洞 [java] view plain copy   package com.iter.devbox.singleton;      import java.io.ObjectStreamException;   import java.io.Serializable;      /**   * 
单例设计模式反射序列化漏洞解决方案
weixin_34153893的博客
04-22 99
单例设计模式的实现方式有很多种,如饿汉式,懒汉式,双重检查锁,静态内部类,枚举等等,但是在平时的开发中,我们实现的单利模式是有一定的漏洞的,可以通过反射或者序列化以及反序列化获取不同的实例,虽然这个漏洞在系统运行的时候不会体现出来,但是在开发时也是值得注意的问题。 使用反射技术来获取不同的实例: 以下是一个简单的饿汉式的单利模式的代...
设计模式_3_单例模式_反射和反序列化漏洞解决方案
Pure_Man_Ben的博客
09-10 214
前两篇介绍了创建单例模式的五种方式,而其中有四种(除了枚举)可以通过反射和反序列化破解的。 通过反射,创建两个不同的对象 package com.cb.study01; import java.lang.reflect.Constructor; /* * 测试反射和反序列化 */ public class Client1 { public static void main(Str...
单例模式:基于反射和反序列化破解单例模式漏洞及其解决方法
五山口老法师
01-26 384
单例模式使得在创建类对象的时候只创建一个对象实例。上一节讲解了五种实现单例模式的方式。 分别为:饿汉模式、懒汉模式、double check、静态内部类、枚举 但是基于反射和反序列化可以破解单例模式的单一实例,在使用反射时可以通过调用setAccesible()直接调用私有构造器,创建新的实例;在反序列化的时候会直接创建新的对象实例。但是以上漏洞只针对前四种方式,枚举由于是基于JVM底层实现机...
单例模式——防止序列化、反序列化以及反射攻击
hskw444273663的博客
12-23 525
序列化反射:扩展配置的高效解决方案
在C#编程中,"扩展的麻烦-C#__序列化反射"这一章节主要关注如何处理在类的设计和配置管理中遇到的问题,特别是当需要添加和管理大量配置信息时。序列化反射是关键的技术工具,它们在数据持久化和动态类型检查中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值