單例模式安全之序列化攻擊

單例模式安全之序列化攻擊

源碼

什么是序列化攻擊呢考廉?

簡單說秘豹,一個單例對象經(jīng)過序列化再反序列化后,內(nèi)存中會存在兩個對象昌粤,這樣單例模式就被破壞既绕。

序列化攻擊復(fù)現(xiàn)

序列化攻擊復(fù)過程

  1. 獲取到單例對象
  2. 對象序列化持久到磁盤
  3. 反序列化成對象

這里采用JDK的自帶的序列化方式

單例實現(xiàn)Serializable接口

package com.fine.serialize;

import java.io.Serializable;

/**
 * 單例
 * volatile 雙重校驗
 *
 * @author finefine at: 2019-05-03 21:43
 */
public class Singleton implements Serializable {

    private static final long serialVersionUID = 1L;


    private volatile static Singleton INSTANCE;

    private Singleton() {

    }

    public static Singleton getInstance() {

        if (INSTANCE==null){

            //同步代碼塊
            synchronized (Singleton.class){
                if (INSTANCE == null) {
                    INSTANCE = new Singleton();
                }
            }

        }
        return INSTANCE;
    }
}

測試代碼

package com.fine.serialize;

import java.io.*;

/**
 * @author finefine at: 2019-05-03 21:50
 */
public class DeSerailizeAttackTest {

    public static void main(String[] args) {
        Singleton singleton = Singleton.getInstance();
        try (ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("object"));
             ObjectInputStream inputStream = new ObjectInputStream(new FileInputStream("object"))) {

            //將對象持久化到磁盤中
            outputStream.writeObject(singleton);
            outputStream.flush();

            //從磁盤中反序列化成對象
            Singleton singleton1 = (Singleton) inputStream.readObject();

            if (singleton == singleton1) {
                System.out.println("是同一個對象");
            } else {
                System.out.println("是兩個不同的對象");
            }

        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }
}

結(jié)果輸出了兩個不同的對象

image-20190503221321745

通過debug 可以看到確實是兩個不同的對象

image-20190503221436080

反序列化攻擊源碼分析

反序列化攻擊的問題代碼在此

//默認(rèn)情況下 該方法重新new對象
private Object readOrdinaryObject(boolean unshared)
        throws IOException
    {
        if (bin.readByte() != TC_OBJECT) {
            throw new InternalError();
        }

        ObjectStreamClass desc = readClassDesc(false);
        desc.checkDeserialize();

        Class<?> cl = desc.forClass();
        if (cl == String.class || cl == Class.class
                || cl == ObjectStreamClass.class) {
            throw new InvalidClassException("invalid class descriptor");
        }

        Object obj;
        try {
            obj = desc.isInstantiable() ? desc.newInstance() : null;
        } catch (Exception ex) {
            throw (IOException) new InvalidClassException(
                desc.forClass().getName(),
                "unable to create instance").initCause(ex);
        }

        passHandle = handles.assign(unshared ? unsharedMarker : obj);
        ClassNotFoundException resolveEx = desc.getResolveException();
        if (resolveEx != null) {
            handles.markException(passHandle, resolveEx);
        }

        if (desc.isExternalizable()) {
            readExternalData((Externalizable) obj, desc);
        } else {
            readSerialData(obj, desc);
        }

        handles.finish(passHandle);

                //經(jīng)過上面的代碼,新對象已經(jīng)被new 出來了, hasReadResolveMethod這個方法很關(guān)鍵 
                //下面的邏輯就是說 如果該類存在一個readResolve 方法就會調(diào)用該方法涮坐,并重新替換新的對象凄贩,如果不存在就直接把new出來的對象返回出去
        if (obj != null &&
            handles.lookupException(passHandle) == null &&
            desc.hasReadResolveMethod())
        {
            Object rep = desc.invokeReadResolve(obj);
            if (unshared && rep.getClass().isArray()) {
                rep = cloneArray(rep);
            }
            if (rep != obj) {
                // Filter the replacement object
                if (rep != null) {
                    if (rep.getClass().isArray()) {
                        filterCheck(rep.getClass(), Array.getLength(rep));
                    } else {
                        filterCheck(rep.getClass(), -1);
                    }
                }
                handles.setObject(passHandle, obj = rep);
            }
        }

        return obj;
    }
    

    /**
     * 
     * 返回該類是否有readResolve方法 
     */
    boolean hasReadResolveMethod() {
        requireInitialized();
        return (readResolveMethod != null);
    }

由于Singleton 類中不存在readResolve ,所以也就導(dǎo)致反序列化出新的對象了袱讹。

解決方法

  1. 添加readResolve方法
  2. 使用枚舉類

添加readResolve

Singleton 代碼

package com.fine.serialize;

import java.io.Serializable;

/**
 * 單例
 * volatile 雙重校驗
 *
 * @author finefine at: 2019-05-03 21:43
 */
public class Singleton implements Serializable {

    private static final long serialVersionUID = 1L;


    private volatile static Singleton INSTANCE;

    private Singleton() {

    }

    public static Singleton getInstance() {

        if (INSTANCE==null){

            //同步代碼塊
            synchronized (Singleton.class){
                if (INSTANCE == null) {
                    INSTANCE = new Singleton();
                }
            }

        }
        return INSTANCE;
    }
    
    //添加的readResolve方法
    private Object readResolve() {
        return INSTANCE;
    }
}

這里測試代碼不用更改疲扎,看看測試結(jié)果

image-20190503225944248

使用枚舉類

單例代碼

package com.fine.serialize;

import java.io.Serializable;

/**
 * @author finefine at: 2019-05-03 23:00
 */
public enum  SingletonEnum implements Serializable {
    INSTANCE;

    private static final long serialVersionUID = 2L;
}

測試代碼

package com.fine.serialize;

import java.io.*;

/**
 * @author finefine at: 2019-05-03 23:02
 */
public class DeSerailizeEnumAttackTest {

    public static void main(String[] args) {
        SingletonEnum singleton = SingletonEnum.INSTANCE;
        try (ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("object"));
             ObjectInputStream inputStream = new ObjectInputStream(new FileInputStream("object"))) {

            //將對象持久化到磁盤中
            outputStream.writeObject(singleton);
            outputStream.flush();

            //從磁盤中反序列化成對象
            SingletonEnum singleton1 = (SingletonEnum) inputStream.readObject();

            if (singleton == singleton1) {
                System.out.println("是同一個對象");
            } else {
                System.out.println("是兩個不同的對象");
            }

        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }
}

測試結(jié)果

image-20190504000713071

那為什么這里使用枚舉類就可以避免反射攻擊呢?深入源碼分析

JDK 的反序列化都會調(diào)用到這個方法捷雕,readObject0對每種類型反序列化都做了不同的實現(xiàn)椒丧,當(dāng)對枚舉類進(jìn)行反序列化時進(jìn)入到TC_ENUM分支,最終調(diào)用readEnum方法

 private Object readObject0(boolean unshared) throws IOException {
        boolean oldMode = bin.getBlockDataMode();
        if (oldMode) {
            int remain = bin.currentBlockRemaining();
            if (remain > 0) {
                throw new OptionalDataException(remain);
            } else if (defaultDataEnd) {
                /*
                 * Fix for 4360508: stream is currently at the end of a field
                 * value block written via default serialization; since there
                 * is no terminating TC_ENDBLOCKDATA tag, simulate
                 * end-of-custom-data behavior explicitly.
                 */
                throw new OptionalDataException(true);
            }
            bin.setBlockDataMode(false);
        }

        byte tc;
        while ((tc = bin.peekByte()) == TC_RESET) {
            bin.readByte();
            handleReset();
        }

        depth++;
        totalObjectRefs++;
        try {
            switch (tc) {
                case TC_NULL:
                    return readNull();

                case TC_REFERENCE:
                    return readHandle(unshared);

                case TC_CLASS:
                    return readClass(unshared);

                case TC_CLASSDESC:
                case TC_PROXYCLASSDESC:
                    return readClassDesc(unshared);

                case TC_STRING:
                case TC_LONGSTRING:
                    return checkResolve(readString(unshared));

                case TC_ARRAY:
                    return checkResolve(readArray(unshared));

                //枚舉類
                case TC_ENUM:
                    return checkResolve(readEnum(unshared));

                //Object
                case TC_OBJECT:
                    return checkResolve(readOrdinaryObject(unshared));

                case TC_EXCEPTION:
                    IOException ex = readFatalException();
                    throw new WriteAbortedException("writing aborted", ex);

                case TC_BLOCKDATA:
                case TC_BLOCKDATALONG:
                    if (oldMode) {
                        bin.setBlockDataMode(true);
                        bin.peek();             // force header read
                        throw new OptionalDataException(
                            bin.currentBlockRemaining());
                    } else {
                        throw new StreamCorruptedException(
                            "unexpected block data");
                    }

                case TC_ENDBLOCKDATA:
                    if (oldMode) {
                        throw new OptionalDataException(true);
                    } else {
                        throw new StreamCorruptedException(
                            "unexpected end of block data");
                    }

                default:
                    throw new StreamCorruptedException(
                        String.format("invalid type code: %02X", tc));
            }
        } finally {
            depth--;
            bin.setBlockDataMode(oldMode);
        }
    }

readEnum 最終調(diào)用了Enum.valueOf 返回實例對象

private Enum<?> readEnum(boolean unshared) throws IOException {
        if (bin.readByte() != TC_ENUM) {
            throw new InternalError();
        }

        ObjectStreamClass desc = readClassDesc(false);
        if (!desc.isEnum()) {
            throw new InvalidClassException("non-enum class: " + desc);
        }

        int enumHandle = handles.assign(unshared ? unsharedMarker : null);
        ClassNotFoundException resolveEx = desc.getResolveException();
        if (resolveEx != null) {
            handles.markException(enumHandle, resolveEx);
        }

        String name = readString(false);
        Enum<?> result = null;
        Class<?> cl = desc.forClass();
        if (cl != null) {
            try {
                @SuppressWarnings("unchecked")
                //這里找到了實例
                Enum<?> en = Enum.valueOf((Class)cl, name);
                result = en;
            } catch (IllegalArgumentException ex) {
                throw (IOException) new InvalidObjectException(
                    "enum constant " + name + " does not exist in " +
                    cl).initCause(ex);
            }
            if (!unshared) {
                handles.setObject(enumHandle, result);
            }
        }

        handles.finish(enumHandle);
        passHandle = enumHandle;
        return result;
    }

總結(jié)

經(jīng)過單例模式安全之反射攻擊和本片文章的內(nèi)容救巷,可以發(fā)現(xiàn)壶熏,使用枚舉類實現(xiàn)單例是非常有利的,不用開發(fā)者考慮太多其他的因素浦译。從單例的角度及安全的角度來看久橙,枚舉單例模式有以下三個特點:

  • jvm 底層保證線程安全俄占。
  • jvm 底層抑制了反射攻擊。
  • jdk 序列化方式的特殊處理淆衷,防止了反序列化攻擊。
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末渤弛,一起剝皮案震驚了整個濱河市祝拯,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌她肯,老刑警劉巖佳头,帶你破解...
    沈念sama閱讀 219,188評論 6 508
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異晴氨,居然都是意外死亡康嘉,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 93,464評論 3 395
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門籽前,熙熙樓的掌柜王于貴愁眉苦臉地迎上來亭珍,“玉大人,你說我怎么就攤上這事枝哄∫蘩妫” “怎么了?”我有些...
    開封第一講書人閱讀 165,562評論 0 356
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵挠锥,是天一觀的道長众羡。 經(jīng)常有香客問我,道長蓖租,這世上最難降的妖魔是什么粱侣? 我笑而不...
    開封第一講書人閱讀 58,893評論 1 295
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮蓖宦,結(jié)果婚禮上齐婴,老公的妹妹穿的比我還像新娘。我一直安慰自己球昨,他們只是感情好尔店,可當(dāng)我...
    茶點故事閱讀 67,917評論 6 392
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著主慰,像睡著了一般嚣州。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上共螺,一...
    開封第一講書人閱讀 51,708評論 1 305
  • 城市分裂傳說
    那天该肴,我揣著相機(jī)與錄音,去河邊找鬼藐不。 笑死匀哄,一個胖子當(dāng)著我的面吹牛秦效,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播涎嚼,決...
    沈念sama閱讀 40,430評論 3 420
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼阱州,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了法梯?” 一聲冷哼從身側(cè)響起苔货,我...
    開封第一講書人閱讀 39,342評論 0 276
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎立哑,沒想到半個月后夜惭,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,801評論 1 317
  • ?護(hù)林員之死
    正文 獨居荒郊野嶺守林人離奇死亡铛绰,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,976評論 3 337
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年诈茧,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片捂掰。...
    茶點故事閱讀 40,115評論 1 351
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡敢会,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出尘颓,到底是詐尸還是另有隱情走触,我是刑警寧澤,帶...
    沈念sama閱讀 35,804評論 5 346
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布疤苹,位于F島的核電站互广,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏卧土。R本人自食惡果不足惜惫皱,卻給世界環(huán)境...
    茶點故事閱讀 41,458評論 3 331
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望尤莺。 院中可真熱鬧旅敷,春花似錦、人聲如沸颤霎。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,008評論 0 22
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽友酱。三九已至晴音,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間缔杉,已是汗流浹背锤躁。 一陣腳步聲響...
    開封第一講書人閱讀 33,135評論 1 272
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點兒被人妖公主榨干…… 1. 我叫王不留或详,地道東北人系羞。 一個月前我還...
    沈念sama閱讀 48,365評論 3 373
  • 代替公主和親
    正文 我出身青樓郭计,卻偏偏與公主長得像,于是被迫代替她去往敵國和親椒振。 傳聞我的和親對象是個殘疾皇子昭伸,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 45,055評論 2 355

推薦閱讀更多精彩內(nèi)容