这篇文章主要讲解了“ABAP和Java里的单例模式攻击实例”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“ABAP和Java里的单例模式攻击实例”吧!
这篇文章主要讲解了“ABAP和Java里的单例模式攻击实例”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“ABAP和Java里的单例模式攻击实例”吧!
目前成都创新互联已为近千家的企业提供了网站建设、域名、网页空间、网站改版维护、企业网站设计、华龙网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。
面向对象编程世界里的单例模式(Singleton)可能是设计模式里最简单的一种,大多数开发人员都觉得可以很容易掌握它的用法。单例模式保证一个类仅有一个实例,并提供一个访问它的全局访问点。
然而在某些场景下,这种设计模式的单例特性会被破坏,看下面这个例子:
代码的第三行,这个ABAP类实现了接口if_serializable_object,这意味着它可以被关键字CALL TRANSFORMATION进行序列化和反序列化操作。
使用下面的ABAP代码:DATA(lo_instance) = zcl_jerry_singleton=>get_instance( ).DATA: s TYPE string.CALL TRANSFORMATION id SOURCE model = lo_instance RESULT XML s.DATA: lo_instance2 TYPE REF TO zcl_jerry_singleton.CALL TRANSFORMATION id SOURCE XML s RESULT model = lo_instance2.
执行之后,在调试器里发现lo_instance和lo_instance2指向了两个不同的对象实例,说明此时这个ABAP单例模式已经被破坏了。
再看看Java,下面是一个最简单的Java单例模式:
然而我们仍然可以通过Java的反射机制来破坏这个单例:Class classType = JerrySingleton.class; Constructor c = classType.getDeclaredConstructor(null); c.setAccessible(true); JerrySingleton e1 = (JerrySingleton)c.newInstance(); JerrySingleton e2 = JerrySingleton.getInstance(); System.out.println(e1 == e2);
在Java里,我们可以通过枚举类来防御这种反射攻击:public enum JerrySingletonAnotherApproach { INSTANCE ; private String name = "Jerry" ; public String getName() { return this.name; } }
这种单例模式的消费代码:System.out.println("Name:" + JerrySingletonAnotherApproach.INSTANCE.getName());
此时别有用心的攻击者如果想使用反射机制创建新的实例,会收到下面的报错信息:at singleton.SingletonAttack.test3(SingletonAttack.java:31)
at singleton.SingletonAttack.main(SingletonAttack.java:43)
