注意: 虽然本文基于Java的序列化/反序列化机制,但在现代Java开发中有更安全、更高效的替代方案。 本节旨在探讨传统方法中的安全风险。
readobject方法未受保护的风险
攻击者可以通过可序列化类恶意操作,从而破坏物体的不变性。readObject 该方法就像一个隐形的公共结构,需要像传统结构一样进行安全保护。 未经保护的 readObject 该方法允许攻击者操纵字节流,从而违反类的约束。
例如,攻击者可能会篡改表示日期的最终字段。
攻击途径:
- 可变引用攻击: 攻击者可以修改字节流中指向类内可变对象的引用,从而修改序列化实例的状态。
- 修改直接对象: 攻击者可以直接修改字节流中包含的内部物体的值(如日期)。
所有这些攻击都会破坏类的完整性,允许在对象创建后修改其状态。
安全读取方法:防御复制
为防止上述攻击,应采取以下措施:
- 创建可变对象的防御副本: 在 readObject 在方法中,不要直接使用从字节流中反序列化的可变对象(如 Date,ArrayList 等)。 这些对象的新副本应该创建。 避免使用 clone() 手动创建新的例子,并复制必要的值。
- 验证不变性: 复制对象后,一定要验证复制对象是否符合类的约束条件。 违反任何规则的,应当抛出异常。
- 避免使用 super 方法: 在 readObject 不要调用可能被子类覆盖的方法。 这可以防止恶意代码在类完全初始化之前执行。
最佳实践:序列化代理模式
尽量使用序列化代理模式(类似于项目90中描述的方法)。 这种模式可以简化代码,最大限度地降低反序列化攻击的风险。
总结
将 readObject 该方法被视为公共结构器:必须验证和保护数据。 记住,字节流可能已经被篡改了。 始终创建可变对象的防御副本,以确保类别的完整性。
以上是项目摘要中写入防御性阅读方法的详细内容。请多关注图灵教育的其他相关文章!
湘公网安备43019002002060