单例模式破解之反射和反序列化

最新推荐文章于 2025-04-04 02:48:47 发布
转载 最新推荐文章于 2025-04-04 02:48:47 发布 · 54 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/blogofcookie/p/5793886.html

本文介绍了如何利用反射和反序列化技术破解除枚举式外的五种单例模式,并提供了一种懒汉式的解决方案,通过在构造方法中检查实例状态及重写反序列化方法来防止单例被非法创建。

5种单例模式中除了枚举式,其他都存在反射和反序列化的漏洞,下面来讲述一下:

下面是破解代码:

/**
 * 
 * 描述:测试反射和反序列化破解单例模式Demo06
 * @author cookie
 */
public class Client {
	public static void main(String[] args) throws Exception {
		SingletonDemo06 s1 = SingletonDemo06.getInstance();
		SingletonDemo06 s2 = SingletonDemo06.getInstance();
		System.out.println(s1);
		System.out.println(s2);
		
		//使用反射方式直接调用私有构造器
		Class<SingletonDemo06> clazz = (Class<SingletonDemo06>) Class.forName("com.bjsxt.singleton.SingletonDemo06");
		Constructor<SingletonDemo06> c = clazz.getDeclaredConstructor(null);
		c.setAccessible(true);//绕过权限管理,即在true的情况下,可以通过构造函数新建对象
		SingletonDemo06 s3 = c.newInstance();
		SingletonDemo06 s4 = c.newInstance();
		System.out.println(s3);
		System.out.println(s4);
		//通过反序列化的方式创建多个对象
		FileOutputStream fos= new FileOutputStream("d:/a.txt");
		ObjectOutputStream oos = new ObjectOutputStream(fos);
		oos.writeObject(s1);
		oos.close();
		fos.close();
		ObjectInputStream ois = new ObjectInputStream(new FileInputStream("d:/a.txt"));
		SingletonDemo06 s5= (SingletonDemo06) ois.readObject();
		System.out.println(s5);
		
	}
}

  而为了防止反射和反序列化破坏单例模式,需要在单例模式中添加,具体以懒汉式为例:

/**
 * 单例模式:懒汉模式 测试反射和反序列化破解单例模式
 * 
 * @author cookie
 * 
 */
public class SingletonDemo06 implements java.io.Serializable {
	// 类加载时,不初始化对象(延时加载:资源利用率高)
	private static SingletonDemo06 instance;

	private SingletonDemo06() {
		if (instance != null) {
			throw new RuntimeException();
		}
	}

	// synchronized 防止并发量高的时候,出现多个对象
	// 方法同步,调用效率低,
	public static synchronized SingletonDemo06 getInstance() {
		if (instance == null) {// 真正用的时候才加载
			instance = new SingletonDemo06();
		}
		return instance;
	}

	// 在反序列化时,直接调用这个方法,返回指定的对象,无需再新建一个对象
	private Object readResolve() {
		return instance;
	}
}

  具体信息,看注释吧

转载于:https://www.cnblogs.com/blogofcookie/p/5793886.html

手撕单例模式——彻底搞懂饿汉式、懒汉式、静态内部类、枚举实现单例,以及通过反射反序列化破坏单例
weixin_44340573的博客
10-02 743
单例模式的实现主要可以通过饿汉式、懒汉式(DCL)、静态内部类以及枚举实现。 其中饿汉式、懒汉式、静态内部类皆可以通过反射或序列化的方式破坏单例,而枚举可以有效的防止反射破坏单例。 注意:单例中的构造是私有的,只有私有构造器才能防止外部类轻易通过构造方法来创建实例,从而破坏单例。 饿汉式单例模式 所谓饿汉式就是直接在实例初始化时,便调用构造方法来创建单例。 public class Hungry { private Hungry(){ } private final static
【Java+设计模式】通过反射机制/序列化机制破解单例模式,及其解决方法
丧心病狂Loli控的博客
08-12 232
单例模式 关于单例模式,可以戳这篇文章:《【设计模式】单例模式(Singleton Pattern)》 下面这是一个经典的懒汉式单例模式实现。 public class Singleton { // 1.在类中添加一个私有静态成员变量用于保存唯一实例 private static Singleton instance; // 2.将默认构造方法设置为私有,这样它就不能被new了 private Singleton() { } // 3.写一个公有静态成员方法,暴露给外部用于获取唯
反射序列化操作会破坏单例模式
每天努力Coding
11-17 835
另一方面,序列化反序列化操作可以破坏单例模式,因为它们允许创建具有与原始单例实例相同状态的新对象。为避免这种情况发生,可以在单例类中实现 readResolve() 方法,并在其中返回已经存在的单例实例。使用反射可以访问类的私有构造函数并强制创建一个新的实例,这将破坏单例模式的唯一性原则,因为它允许创建多个实例。为防止这种情况发生,可以通过在单例类的构造函数中添加防止多次实例化的检查来进行保护。方法在反序列化过程中被调用,确保返回的是单例实例,从而避免通过序列化创建新的实例。在构造函数中,我们通过检查。
单例模式实现及防止反射与序列化
Better_YZQ的博客
07-19 944
单例模式 模式动机 对于系统中的某些类来说,只有一个实例很重要,如一个系统中只有一个计时工具 ID(序号)生成器。 单例模式适用情况包括:系统只需要一个实例对象;客户调用类的单个实例只允许使用一个公共访问点。 定义 顾名思义,用来保证一个对象只能创建一个实例,除此之外,它还提供了对实例的全局访问方法。 单例模式的要点有三个:一是类只能有一个实例;二是它必须自行创建这个实例;三是它必须自行向整个系统提供这个实例。 实现 为了确保单例实例的唯一性,所有的 单例构造器都要被声明为私有 的,再通过声明 静态方法实
Java单例模式(解决反射攻击,反序列化攻击)
weixin_45679480的博客
11-27 795
单例模式 什么是单例模式 单例模式就是确保类的实例对象只能有一个,类本身要实例化好这个对象提供给其他所有的类访问。单例模式就是为了避免状态不一致。 单例模式特定 单例类只能有一个实例。 单例类必须自己创建自己的唯一实例。 单例类必须给所有其他对象提供这一实例。 单例模式四大原则 1、构造私有 2、以静态方法或者枚举返回实例 3、确保实例只有一个,尤其是多线程环境 4、确保反序列换时不会重新构建对象 实现单例模式的方式 饿汉式(立即加载) 就是在类加载是就创建一个静态对象私有的对象实例,来提供给外部使用,除非
单例模式反射漏洞反序列化漏洞
da_kao_la的博客
04-08 1375
单例模式反射漏洞反序列化漏洞 除了枚举式单例模式外,其余4种在单例模式提到的单例模式的实现方式都存在反射漏洞反序列化漏洞。 package singleton; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.ObjectInputStream; import java.io.O...
【设计模式】破解单例模式反射、序列化与克隆攻击的防御之道
SevenCoding的博客
03-04 1414
可能有的小伙伴看了我上一篇文章里几种方式对比的表格,觉得枚举有缺点,为什么Joshua Bloch还推荐使用枚举?这就要提到单例的破解了。普通的单例模式是可以通过反射序列化/反序列化破解的,而Enum由于自身的特性问题,是无法破解的。当然,由于这种情况基本不会出现,因此我们在使用单例模式的时候也比较少考虑这个问题。
单例模式及序列化,反序列化破坏单例模式的解决方法
m0_67791496的博客
10-28 203
【代码】抽象工厂模式。
设计模式-单例模式(包括反射序列化的影响解决方法)
Jwasx的博客
01-22 752
文章目录前言1. 单例模式的介绍 前言 在之前写过一篇java单例模式的文章,只是简单介绍两种懒汉式饿汉式的单例,因此在这里重新写一次单例模式,本篇文章基于菜鸟教程的单例模式,会介绍其中的6中单例模式,并且会涉及到多线程情况下的并发问题 1. 单例模式的介绍 ...
Java设计模式(单例模式)——解决单例模式存在的问题(序列化、反序列方式破坏单例模式的解决方法、反射方式破解单例的解决方法。完整详解,附有代码+案例)
Java技术加油站的博客
09-18 371
Java设计模式——解决单例模式存在的问题(完整详解,附有代码+案例)方法,在反序列化时被反射调用,如果定义了这个方法,就返回这个方法的值,如果没有定义,则返回新new出来的对象。在Singleton类中添加。
反射反序列化破坏单例及解决方案
2501_91311799的博客
04-04 448
当我们将一个单例对象创建好,有时候需要将对象序列化然后写入到磁盘,下次使用时 再从磁盘中读取到对象,反序列化转化为内存对象。反序列化后的对象会重新分配内存, 即重新创建。那如果序列化的目标的对象为单例对象,就违背了单例模式的初衷,相当 于破坏了单例。: 将已经持久化的字节码内容,转换为 IO 流,通过 IO 流的读取,进而将读取的内容转换为 Java 对象。:把内存中的对象通过转换成字节码的形式,从而转换一个 IO 流,写入到其他地方(可以是磁盘、网络 IO),从而永久保存下来。
单例模式反射漏洞反序列化漏洞代码实例
08-26
单例模式反射漏洞反序列化漏洞代码实例 单例模式是软件设计模式中一种常用的设计模式,用于限制一个类的实例化次数,确保一个类在整个应用程序中只有一个实例。然而,单例模式存在一些漏洞,例如反射漏洞反...
Java创建型模式(一)——单例设计模式(饿汉式、懒汉式、枚举式,以及序列化反序列化破环单例模式反射破环单例模式及破环单例模式的解决办法 | 完成详解,附有代码+案例)
Java技术加油站的博客
09-17 2273
Java创建者模式(一)——单例设计模式(饿汉式、懒汉式、枚举式,以及序列化反序列化破环单例模式反射破环单例模式及破环单例模式的解决办法 | 完成详解,附有代码+案例)。提供了一种创建对象的最佳方式。这种模式涉及到一个单一的类,该类负责创建自己的对象,同时确保只有单个对象被创建。这个类提供了一种访问其唯一的对象的方式,可以直接访问,不需要实例化该类的对象。
学习一下二维码相关的,集成下 zxing.zip
09-12
学习一下二维码相关的,集成下 zxing.zip
生成二维码,可以带企业logo.zip
09-12
生成二维码,可以带企业logo.zip
帝国CMS7.5仿完美游戏台游戏视频网站模板下载.zip
09-12
本帝国cms模板由网络收集,整理升级为帝国CMS7.5,去除图片附件BUG部分广告,已测试完美无错。 非常适合游戏视频网站使用,视频源采集的优酷,采集目标站以关闭,删除原火车头采集规则。 自带几万条测试数据,几百M测试图片,如何不需要可以到后台批量删除即可。
MATLAB中的Kolmogorov-Arnold网络_Kolmogorov-Arnold Networks in MA
09-12
MATLAB中的Kolmogorov-Arnold网络_Kolmogorov-Arnold Networks in MATLAB.zip
友得云客房产小程序是一款专为房产行业打造的开源的线上营销获客小程序,功能包括:一手房、二手房、租房房源发布、二维码海报、
最新发布
09-12
友得云客房产小程序是一款专为房产行业打造的开源的线上营销获客小程序,功能包括:一手房、二手房、租房房源发布、二维码海报、置业顾问电子名片,适用于房产开发商、代理商、房产自媒体等行业,拥有众多成功案例。前端采用微信小程序原生开发,后端采用java开发,社区版全部开源免费,您可以在此基础上进行修改扩展,以适应您自己的业务。本项目所用技术栈有:java_springboot、js_vue.zip
Java枚举单例模式详解与反序列化处理
总结起来,枚举单例是一种推荐的实现单例模式的方法,它具有线程安全、代码简洁、防止反射攻击反序列化问题等优点,尤其适用于Android这样的移动开发环境。在设计实现单例时,应根据实际需求性能考虑选择最...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值