备案控制台
探索云世界
开发者社区 汪子熙 文章 正文

ABAP和Java单例模式的攻防

2021-12-03 91
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: ABAP和Java单例模式的攻防

ABAP

CLASS zcl_jerry_singleton DEFINITION
PUBLIC
FINAL
CREATE PRIVATE .
PUBLIC SECTION.
INTERFACES if_serializable_object .
CLASS-METHODS class_constructor .
CLASS-METHODS get_instance
RETURNING
VALUE(ro_instance) TYPE REF TO zcl_jerry_singleton .
PROTECTED SECTION.
PRIVATE SECTION.
CLASS-DATA so_instance TYPE REF TO zcl_jerry_singleton .
DATA mv_name TYPE string .
DATA mv_initialized TYPE abap_bool .
METHODS constructor .
ENDCLASS.
CLASS ZCL_JERRY_SINGLETON IMPLEMENTATION.
* <SIGNATURE>---------------------------------------------------------------------------------------+
* | Static Public Method ZCL_JERRY_SINGLETON=>CLASS_CONSTRUCTOR
* +-------------------------------------------------------------------------------------------------+
* +--------------------------------------------------------------------------------------</SIGNATURE>
METHOD class_constructor.
so_instance = NEW zcl_jerry_singleton( ).
ENDMETHOD.
* <SIGNATURE>---------------------------------------------------------------------------------------+
* | Instance Public Method ZCL_JERRY_SINGLETON->CONSTRUCTOR
* +-------------------------------------------------------------------------------------------------+
* +--------------------------------------------------------------------------------------</SIGNATURE>
METHOD constructor.
mv_name = 'Jerry'.
IF mv_initialized = abap_false.
mv_initialized = abap_true.
ELSE.
MESSAGE 'you are in trouble!' TYPE 'E' DISPLAY LIKE 'I'.
ENDIF.
ENDMETHOD.
* <SIGNATURE>---------------------------------------------------------------------------------------+
* | Static Public Method ZCL_JERRY_SINGLETON=>GET_INSTANCE
* +-------------------------------------------------------------------------------------------------+
* | [<-()] RO_INSTANCE TYPE REF TO ZCL_JERRY_SINGLETON
* +--------------------------------------------------------------------------------------</SIGNATURE>
METHOD get_instance.
ro_instance = so_instance.
ENDMETHOD.
ENDCLASS.

通过序列化/反序列化攻击单例模式

DATA(lo_instance) = zcl_jerry_singleton=>get_instance( ).
DATA: s TYPE string.
CALL TRANSFORMATION id SOURCE model = lo_instance RESULT XML s.
DATA: lo_instance2 TYPE REF TO zcl_jerry_singleton.
CALL TRANSFORMATION id SOURCE XML s RESULT model = lo_instance2.

绕过了单例的限制,构造了第二个实例。


Java

除了用序列化/反序列化攻击外,还可以用反射攻击。




然而我只需要将这个单例类JerrySingleton的构造函数通过反射设置成可以访问Accessible,然后就能通过反射调用该构造函数,进而生成新的对象实例。这样就破坏了单例模式。




第6行代码会打印false。


针对这种攻击,一种可行的防御措施是在单例类的构造函数内定义一个布尔变量,初始化为false。当构造函数执行后,该变量被置为true。如果接下来构造函数再次被执行,则人为抛出异常,避免构造函数重复执行。




这种防御措施无法从根本上杜绝Singleton被攻击,因为攻击者仍旧可以通过反射来修改布尔变量flag的值,从而绕过这个检查。


最理想的不会受到攻击的单例模式实现是借助Java里枚举类Enumeration的特性:




这种实现类型的单例模式的消费代码:


System.out.println(“Name:” + JerrySingletonAnotherApproach.INSTANCE.getName());


如果攻击者通过前面介绍的反射代码对这种实现方式的单例进行攻击,JDK会抛出NoSuchMethodException异常:




究其原因,是因为现在我们是通过Java枚举方式实现的单例,枚举类没有传统意义上的构造函数,因此对这种反射攻击免疫。


文章标签:
Java
关键词:
Java单例模式
abap java
Java ABAP
Java攻防
ABAP Java单例模式攻防
开发工程师
目录
相关文章
晚餐是PM
|
4月前
|
Java 编译器
单例模式---JAVA
“饿汉”模式 “懒汉”模式
晚餐是PM
101 1
还在路上的秃头
|
4天前
|
设计模式 安全 Java
【JAVA】Java 中什么叫单例设计模式?请用 Java 写出线程安全的单例模式
【JAVA】Java 中什么叫单例设计模式?请用 Java 写出线程安全的单例模式
还在路上的秃头
148 0
风水道人
|
1月前
|
SQL 设计模式 安全
Java单例模式几种写法以及代码案例拿来直接使用
Java单例模式几种写法以及代码案例拿来直接使用
风水道人
32 0
东方睿赢
|
17天前
|
设计模式 存储 Java
Java设计模式:解释一下单例模式(Singleton Pattern)。
`Singleton Pattern`是Java中的创建型设计模式,确保类只有一个实例并提供全局访问点。它通过私有化构造函数,用静态方法返回唯一的实例。类内静态变量存储此实例,对外仅通过静态方法访问。
东方睿赢
16 1
喜欢猪猪
|
28天前
|
设计模式 缓存 安全
23种设计模式,单例模式的概念优缺点以及JAVA代码举例
【4月更文挑战第9天】在软件工程中,设计模式是为常见问题提出的典型解决方案。总共有23种设计模式,这些模式被分为三大类:创建型、结构型和行为型。单例模式是其中的一种创建型模式,它的主要目的是确保一个类只有一个实例,并提供一个全局访问点来获取这个实例
喜欢猪猪
18 7
修己xj
|
2月前
|
设计模式 安全 Java
Java设计模式之单例模式
在软件工程中,单例模式是一种常用的设计模式,其核心目标是确保一个类只有一个实例,并提供一个全局访问点来获取这个实例。Java作为一门广泛使用的编程语言,实现单例模式是面试和实际开发中的常见需求。
修己xj
66 9
Java设计模式之单例模式
进步`于辰
|
3月前
|
设计模式 Java 安全
[Java]单例模式
本篇文章主要阐述单例模式的基础实现,重心在于如何解决单例模式中的“线程安全”问题。不涉及理论。 如果文中阐述不全或不对的,多多交流。
进步`于辰
80 0
[Java]单例模式
孙玉洁-47170
|
3月前
|
Java
JAVA基础--内部类和静态内部类、单例模式---静态内部类剖析
JAVA--内部类和静态内部类、单例模式---静态内部类剖析
孙玉洁-47170
39 9
孙玉洁-47170
|
3月前
|
存储 缓存 Java
Java volatile关键字-单例模式的双重锁为什么要加volatile
Java volatile关键字--单例模式的双重锁为什么要加volatile
孙玉洁-47170
51 10
归思君
|
4月前
|
设计模式 安全 Java
Java设计模式—单例模式的实现方式和使用场景
那么为什么要有单例模式呢?这是因为有的对象的创建和销毁开销比较大,比如数据库的连接对象。所以我们就可以使用单例模式来对这些对象进行复用,从而避免频繁创建对象而造成大量的资源开销。
归思君
60 1

汪子熙

热门文章

最新文章

  • 1
    ABAP 源代码如何创建嵌套的内表,即内表列数据结构又是内表
  • 2
    SAP ABAP CDS View 和 HANA CDS View 相同点和不同点辨析
  • 3
    SAP ABAP 中数据类型 xstring 的使用介绍
  • 4
    ABAP AT NEW 关键字的用法
  • 5
    使用 ABAP 代码打印出 SAP CRM 系统里所有维护了 Sales Area 的 business partner id
  • 6
    关于 SAP ABAP REPOSRC 数据库表在 HANA 中的 DDL Definition
  • 7
    Java中的多线程编程:概念、实现与性能优化
  • 8
    Suno AI 生成 SAP ABAP 顾问之歌
  • 9
    使用Redis进行Java缓存策略设计
  • 10
    Java语言开发的AI智慧导诊系统源码springboot+redis 3D互联网智导诊系统源码
  • 1
    Java 文件处理完全指南:创建、读取、写入和删除文件详细解析
    262
  • 2
    Java的语法基础
    17
  • 3
    Java的面向对象设计
    13
  • 4
    java的类加载过程
    12
  • 5
    java的常见算法
    10
  • 6
    JAVA字符串的基本操作
    14
  • 7
    JAVA一维数组
    19
  • 8
    JAVA跳转控制语句
    18
  • 9
    JAVA顺序结构
    12
  • 10
    JAVA数组的常用方法
    19

    • 相关课程

    更多
  • Java面试疑难点解析 - 面试技巧及语言基础
  • Java面试疑难点解析 - Java Web开发
  • Java面试疑难点解析 - 系统架构及项目设计
  • Java编程入门
  • Java面向对象编程
  • Java高级编程

    • 相关电子书

    更多
  • Spring Cloud Alibaba - 重新定义 Java Cloud-Native
  • The Reactive Cloud Native Arch
  • JAVA开发手册1.5.0

    • 相关实验场景

    更多
  • 阿里云平台上进行Java程序的编译与运行
  • 使用Java面向对象编写网络通信程序应用
  • Elasticsearch Java API Client 开发
  • 手动部署Java Web环境(Alibaba Cloud Linux 2)
  • 搭建Java Web开发环境(Anolis OS)
  • RocketMQ中使用Java客户端发送消息和消费的应用
    • 下一篇
    2024年阿里云免费云服务器及学生云服务器申请教程参考