如何防止單例模式被 JAVA 反射攻擊

阿新 • • 發佈：2018-11-24

如何防止單例模式被 JAVA 反射攻擊

package sf.com.singleton;

public class Demo {
    
    private static boolean flag = true;
    
    private  Demo() {
        System.out.println("flag==" + flag);
    }
    
    private static class SingletonHolder{
        private static final Demo INSTANCE = new Demo();
    }
    
    public static Demo getInstance(){
        return SingletonHolder.INSTANCE;
    }
    
    public void deSomethingElse(){
        
    }
}



package sf.com.singleton;

import java.lang.reflect.Constructor;

public class DemoRelectAttack {

    public static void main(String[] args){
        try {
            Class<Demo> classType = Demo.class;
            Constructor<Demo> constructor = classType.getDeclaredConstructor(null);
            //取消java的許可權控制檢查
            constructor.setAccessible(true);
            //下面兩個都可以訪問私有構造器
            Demo demo1 = (Demo) constructor.newInstance(); 
            Demo demo2 = Demo.getInstance();
            System.out.println(demo1 == demo2);
        } catch (Exception e) {
            e.printStackTrace();
        }
        
    }
}

執行結果：

可以看到，通過反射獲取建構函式，然後呼叫setAccessible(true)就可以呼叫私有的建構函式，所有e1和e2是兩個不同的物件。

如果要抵禦這種攻擊，可以修改構造器，讓它在被要求建立第二個例項的時候丟擲異常。

修改後的程式碼：

package sf.com.singleton;

public class DemoModify {
    
    private static boolean flag = true;
    
    private  DemoModify() {
        synchronized (DemoModify.class) {
            if (flag == false) {
                flag = !flag;
            }else{
                throw new RuntimeException("單例模式被侵犯！");
            }
        }
    }
    
    private static class SingletonHolder{
        private static final DemoModify INSTANCE = new DemoModify();
    }
    
    public static DemoModify getInstance(){
        return SingletonHolder.INSTANCE;
    }
    
    public void deSomethingElse(){
        
    }
}

package sf.com.singleton;

import java.lang.reflect.Constructor;

public class DemoRelectAttack {

    public static void main(String[] args){
        try {
            Class<DemoModify> classType = DemoModify.class;
            Constructor<DemoModify> constructor = classType.getDeclaredConstructor(null);
            //取消java的許可權控制檢查
            constructor.setAccessible(true);
            //下面兩個都可以訪問私有構造器
            DemoModify demo1 = (DemoModify) constructor.newInstance(); 
            DemoModify demo2 = DemoModify.getInstance();
            System.out.println(demo1 == demo2);
        } catch (Exception e) {
            e.printStackTrace();
        }
        
    }
}

執行結果如下：

可以看到，成功的阻止了單例模式被破壞。

從JDK1.5開始，實現Singleton還有新的寫法，只需編寫一個包含單個元素的列舉型別。推薦寫法：

package sf.com.singleton;

public enum SingletonClass {
    
    INSTANCE;
    
    public void test(){
        System.out.println("The Test!");
    }
}


package sf.com.singleton;

import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;

public class TestMain {

    public static void main(String[] args) throws NoSuchMethodException, SecurityException, InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException {
        Class<SingletonClass> classType = SingletonClass.class;
        Constructor<SingletonClass> constructor =(Constructor<SingletonClass>)  classType.getDeclaredConstructor();
        constructor.setAccessible(true);
        constructor.newInstance();
    }
}

執行結果如下：

由此可見這種寫法也可以防止單例模式被“攻擊”。

2、第二種方法簡單直接

private Singleton() {
        if(singleton!=null){
            throw new RuntimeException();
        }
    }

public class Demo {
    public static void main(String[] args) throws Exception {
        Singleton singletonOne = Singleton.getSingleton();
        Singleton singletonTwo = Singleton.getSingleton();
        System.out.println("One和Two是否是同一個例項？ " + (singletonOne == singletonTwo));
        //利用反射來破壞單例模式
        Class clazz = Class.forName("com.jiagouedu.Singleton");
        Constructor constructor = clazz.getDeclaredConstructor(null);
        constructor.setAccessible(true);
        Singleton singletonThree = (Singleton) constructor.newInstance(null);
        System.out.println("One和three是否是同一個例項？ "+(singletonOne==singletonThree));
    }
}
//雙重檢測鎖模式
class Singleton {
    private Singleton() {
        if(singleton!=null){
            throw new RuntimeException();
        }
    }

    static Singleton singleton;

    public static Singleton getSingleton() {
        if (singleton == null) {
            synchronized (Singleton.class) {
                if (singleton == null) {
                    singleton = new Singleton();
                }
            }
        }
        return singleton;
    }
}

如何防止單例模式被 JAVA 反射攻擊

如何防止單例模式被 JAVA 反射攻擊 package sf.com.singleton; public class Demo { private static boolean flag = true; private Demo() { S

單例模式破解之反射

單例模式只允許一個類有一個例項物件，並且給定入口，反射的暴力破解方式不僅可以訪問單例物件的私有方法，還能建立多個物件單例物件 public class Singleton1 { private static Singleton1 instance = new Singleton1();

Android中的單例模式(包含Java、Kotlin)

在Android開發工程中，單例模式可以說是我們使用得非常頻繁的設計模式了。常見的寫法有5種: 餓漢式懶漢式同步鎖雙重校驗內部類下面我們對這5種寫法的Java、Kotlin各自舉例。呼叫統一由Kotlin呼叫(其實差別並不大) 一、餓漢式 java

單例模式之JAVA實現--如何實現真正的安全單例模式

單例模式什麼是單例模式單例模式屬於管理例項的創造型型別模式。單例模式保證在你的應用種最多隻有一個指定類的例項。單例模式應用場景專案配置類讀取專案的配置資訊的類可以做成單例的，因為只需要讀取一次，且配置資訊欄位一般比較多節省資源。通過這個單例的類，

【Java 單例模式】Java 單例模式在多執行緒環境中可能存在的問題

在多執行緒環境下，使用延遲載入的方式實現單例模式，會出現錯誤。例如，使用如下方式實現單例類： package study20170307; /** * Created by apple on 17/3/7. */ public class Sin

單例模式（java兩種方式實現）

//測試類 public class SingletonTest1 { public static void main(String[] args) { //檢驗產生的例項是否是同一個例項 Singleton s

《大話設計模式》讀書筆記：單例模式與Java同步鎖synchronized

單例模式，保證一個類僅有一個例項，並提供一個訪問它的全域性訪問點。在單例模式下，類本身負責儲存它的唯一例項，這個類必須保證沒有其他例項可以被建立，並且它可以提供一個訪問該例項的方法。單例模式的類中，構造方法（函式/體）被設為private，從而堵死了外部例項化該類的可能。同

單例模式（java程式碼實現）

應用單例模式時，類只能有一個物件例項，這麼做的目的是避免不一致狀態。餓漢式單例：（立即載入） // 餓漢式單例 public class Singleton1 { // 指向自己例項的私有靜態引用，主動建立 private static Singlet

"單例模式"-之Java,Android面試必問設計模式(3/9)

單例模式下面給大家分享面試必問8大設計模式中的第三種:單例模式大家如果被面試官問到單例模式,只需回答下面的內容,並分析其中的幾個關鍵點即可. 單例模式分兩類: 1.開發使用餓漢式 2.但是懶漢式是必須會寫的要求解釋未加鎖版的缺陷,和解決

iOS防止單例物件被重複建立

#import "Person.h" static Person *_instance; @implementation Person /** Person單例 */ + (instancety

Java設計模式（一）：單例模式，防止反射和反序列化漏洞

package com.iter.devbox.singleton; import java.io.ObjectStreamException; import java.io.Serializable; /** * 靜態內部類實現方式（也是一種懶載入方式） * 這種方式：執行緒安全，呼叫效率高，並且實

java學習筆記-設計模式之單例模式如何防止反射及反序列化漏洞

在前一篇文章中，對單例模式列舉了五種實現方式。其中列舉模式擁有出生光環，天生就沒有反射及反序列化漏洞。針對其他四種實現方式，在本篇文章中對懶漢式單例模式實現進行反射及反序列化漏洞測試。一、通過反射破解懶漢式單例模式重新建立測試類TestClientNew，通過反射獲取

java反射（java.lang.reflect) ---普通單例模式唯一性問題

catch 調用 ant 餓漢 urn 方法 -- ace ati 1. 普通的飽漢式、餓漢式 package org.bighead.test2; public class TestPrivate { private String str = "strPrivate

Java基礎---單例模式觀察者模式反射工廠模式

package cn.itcast.single; /* 單例設計模式：懶漢單例設計模式(執行緒安全問題的解決方案): 步驟： 1. 私有化建構函式。 2. 宣告

單例模式的破壞及任何防止被破壞

常用的單例模式有懶漢式、餓漢式兩種情況。實際的應用場景也是很常見，好比如資料庫連線池的設計，還有Windows的Task Manager（工作管理員）等。所謂單例模式就是，某一個類只

Java基礎筆記9——反射、Junit、註解、單例模式

Java基礎筆記9 十五、反射通過獲取指定類的Class資訊，剖析該類具有的屬性、方法、構造方法等等資訊。這個過程就是反射的過程。剖析類——得到類內部資訊來實現特定功能。能夠實現解耦操作。 Class — 代表位元組碼的類 — 代表類的類——反射的核心 Field — 代表屬性的類 C

JAVA單例模式6種寫法（附反射破壞單例）

java中單例模式是一種常見的設計模式，單例模式的寫法有多種，這裡主要介紹6種寫法：餓漢式單例、懶漢式單例3個、靜態內部類，列舉。　　單例模式有以下特點：　　1、單例類只能有一個例項。　　2、單例類必須自己建立自己的唯一例項。　　3、單例類必須給

從原始碼中學習設計模式系列——單例模式序/反序列化以及反射攻擊的問題（二）

一、前言這篇文章是學習單例模式的第二篇，之前的文章一下子就給出來看起來很高大上的實現方法，但是這種模式還是存在漏洞的，具體有什麼問題，大家可以停頓一會兒，思考一下。好了，不賣關子了，下面我們來看看每種單例模式存在的問題以及解決辦法。二、每種Singleton 模式的演進模式一

溫故而知新(java實現)單例模式的七種寫法

反序防止代碼工作 html 我想變種 evel 才會第一種（懶漢，線程不安全）： Java代碼 public class Singleton { private static Singleton instance; private S

快速理解Java中的五種單例模式

嵌套類 ati class 由於 aop 適合 singleton 重復 code 解法一：只適合單線程環境（不好） package test; /** * @author xiaoping * */ public class Singleton { pri

如何防止單例模式被 JAVA 反射攻擊

相關推薦