开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

使用setAccessible进行最终字段语义和反序列化(true)

使用setAccessible方法可以让我们访问私有字段，从而实现最终字段语义和反序列化。这个方法可以修改Java反射中的AccessibleObject对象的访问权限，使其可以访问私有成员。

在Java反射中，AccessibleObject是一个抽象类，它是Field、Constructor和Method类的父类。setAccessible方法可以修改AccessibleObject对象的访问权限，使其可以访问私有成员。

当我们使用setAccessible(true)时，我们可以访问私有字段，并且可以对其进行修改。这对于一些特殊的情况非常有用，例如在测试中，我们需要访问私有字段来验证其状态。

然而，使用setAccessible(true)也可能会引起安全问题，因为它可以绕过Java的访问控制机制。因此，在使用setAccessible(true)时，我们需要非常小心，确保我们不会引入安全漏洞。

在许多情况下，我们可以使用其他方法来实现相同的目的，例如使用公共方法来访问私有字段，或者使用接口来暴露私有成员。

总之，使用setAccessible(true)可以让我们访问私有字段，并且可以对其进行修改。然而，我们需要非常小心，确保我们不会引入安全漏洞。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

protostuff java_Protostuff一键序列化工具、Protobuf JAVA实现

序列化 (Serialization)将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间，对象将其当前状态写入到临时或持久性存储区。以后，可以通过从存储区中读取或反序列化对象的状态，重新创建该对象。

01

JAVA基础漏洞是如何自我修炼

众所周知，气是修炼的基础即反射是java的其中的一个高级特性。正是因为反射的特性引出了后续的动态代理，AOP，RMI，EJB等功能及技术，在后续再来说下代理，RMI等及其漏洞原理吧，在之前先来看看反射所有的原理及漏洞，那么，在修炼初期应该注意什么问题呢？

03

java的反序列化(二):URLDNS

可通过java -jar ysoserial-0.0.6-SNAPSHOT-all.jar URLDNS "http://host" > payload.bin生成payload

02

【设计模式-单例模式】

今天来说一下同样属于创建型模式的单例模式，相信这个模式普遍都清楚，因为平时在编码的时候都会进行相应的使用，我这边就当做日志记录一下。免得以后忘了还得去搜，我发现我记忆里非常差，很多东西很快就忘记了，年纪大了没办法。

01

dubbo之hessian序列化数据丢失

最近有同事来找我，说同一个model中有一个字段值无法传递到调用方，其它的字段都可以传递过去，什么，还有这样的事，瞬间懵逼了，于是就想着是不是他给到客户端的API和他自己的不一致，是不是没有get和set方法，或者是不是打包的问题，或者是不是TCP传递时，数据发生了丢失等。在找不到原因时，先添加一个字段进行尝试，发现新加的字段是有值的。该字段相较于其它字段较特殊的地方是子类和父类有相同的字段，去掉继承，发现字段能够顺利传递过去了。问题是找到了，但是原因还有找到，于是只能进行baidu

01

java单例模式代码实现方式_java单例模式实现方式

懒汉式是典型的时间换空间，也就是每次获取实例都会进行判断，看是否需要创建实例，浪费判断的时间。当然，如果一直没有人使用的话，那就不会创建实例，则节约内存空间(搬运工)。

03

Java 反序列化学习

讲的比较清楚的文章：https://www.cnblogs.com/ityouknow/p/5603287.html

04

WebLogic CVE-2019-2647~2650 XXE漏洞分析

Oracle发布了4月份的补丁，详情见链接(https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html#AppendixFMW)

03

Java编程——单例模式的安全性

本文来说说怎么破坏一个单例，让你写的单例变成一个假的单例。当然，本文也会给出怎么进行防守的方法。

03

Java安全之URLDNS链

芜湖，Java 安全终于开篇辣，学习了这个然后学 CommonCollections 一系列利用链。

02

通过 HashMap 触发 DNS 检测 Java 反序列化漏洞

我们常说的反序列化漏洞一般是指 readObject() 方法处触发的漏洞，而除此以外针对不同的序列化格式又会产生不同的出发点，比如说 fastjson 会自动运行 setter，getter 方法。之后又有各种 RMI，JNDI 姿势去执行命令。现在常见的黑盒检测 Java 反序列化方式就是执行命令 API，比如用一个 gadget 去执行 nslookup xxx 最终通过服务器记录去判断。

01

09 | 反序列化漏洞：使用了编译型语言，为什么还是会被注入？

我们都知道，Java 是一种高层级的语言。在 Java 中，你不需要直接操控内存，大部分的服务和组件都已经有了成熟的封装。除此之外，Java 是一种先编译再执行的语言，无法像 JavaScript 那样随时插入一段代码。因此，很多人会认为，Java 是一个安全的语言。如果使用 Java 开发服务，我们只需要考虑逻辑层的安全问题即可。但是，Java 真的这么安全吗？

01

为什么要实现实现Serializable接口

类的可序列化性由实现 java.io.Serializable 接口的类启用。未实现此接口的类将不会对其任何状态进行序列化或反序列化。可序列化类的所有子类型本身都是可序列化的。序列化接口没有方法或字段，仅用于识别可序列化的语义。

03

渗透测试笔记-4

1.由于很多站点或者RMI仓库等接口处存在java的反序列化功能，于是攻击者可以通过构造特定的恶意对象序列化后的流，让目标反序列化，从而达到自己的恶意预期行为，包括命令执行，甚至 getshell 等等。

03

JAVA安全基础入门篇

Java反射机制是在运行状态时，对于任意一个类，都能够获取到这个类的所有属性和方法，对于任意一个对象，都能够调用它的任意一个方法和属性(包括私有的方法和属性)，这种动态获取的信息以及动态调用对象的方法的功能就称为java语言的反射机制。

05

【JAVA反序列化】序列化与反序列化&Java反射&URLDNS链

只有实现了Serializable或者Externalizable接口的类的对象才能被序列化为字节序列

01

针对RMI的反序列化攻击

RMI调用由三部分构成：服务端，客户端，注册端。而在RMI传输数据时，数据是以序列化的形式进行传输的，这就意味着RMI调用中存在反序列化的操作，这就给了反序列化攻击可乘之机。

04

Web漏洞 | JAVA反序列化漏洞

1、由于很多站点或者RMI仓库等接口处存在java的反序列化功能，于是攻击者可以通过构造特定的恶意对象序列化后的流，让目标反序列化，从而达到自己的恶意预期行为，包括命令执行，甚至 getshell 等等。

01

Hessian 反序列化及相关利用链

前不久有一个关于Apache Dubbo Http反序列化的漏洞，本来是一个正常功能（通过正常调用抓包即可验证确实是正常功能而不是非预期的Post），通过Post传输序列化数据进行远程调用，但是如果Post传递恶意的序列化数据就能进行恶意利用。Apache Dubbo还支持很多协议，例如Dubbo（Dubbo Hessian2）、Hessian（包括Hessian与Hessian2，这里的Hessian2与Dubbo Hessian2不是同一个）、Rmi、Http等。Apache Dubbo是远程调用框架，既然Http方式的远程调用传输了序列化的数据，那么其他协议也可能存在类似问题，例如Rmi、Hessian等。@pyn3rd师傅之前在twiter[1]发了关于Apache Dubbo Hessian协议的反序列化利用，Apache Dubbo Hessian反序列化问题之前也被提到过，这篇文章[2]里面讲到了Apache Dubbo Hessian存在反序列化被利用的问题，类似的还有Apache Dubbo Rmi反序列化问题。之前也没比较完整的去分析过一个反序列化组件处理流程，刚好趁这个机会看看Hessian序列化、反序列化过程，以及marshalsec[3]工具中对于Hessian的几条利用链。

03

RMI攻击Registry的两种方式

RMI(Remote Method Invocation) ：远程方法调用。它使客户机上运行的程序可以通过网络实现调用远程服务器上的对象，要实现RMI，客户端和服务端需要共享同一个接口。

02

对象的序列化与反序列化

对象的序列化就是将Object转换成byte序列，反之叫做对象的反序列化 1.序列化流： ObjectOutputStream，是过滤流----->writeObject 反序列化流： ObjectInputStream ------->readObject 2.序列化接口： Serializable 对象必须实现序列化接口，才能进行序列化，否则将会出现异常这个接口没有任何方法，只是一个标准 3.一个类实现了序列化接口，子类也就都能进行序列化了 java.io 接口 Serializable publ

「源码分析」— 为什么枚举是单例模式的最佳方法

枚举类型（enum type）是在 Java 1.5 中引入的一种新的引用类型，是由 Java 提供的一种语法糖，其本质是 int 值。关于其用法之一，便是单例模式，并且在《Effective Java》中有被提到：

06

Java反射--2021面试题系列教程（附答案解析）--大白话解读--JavaPub版本

本教程是系列教程，包含 Java 基础，JVM，容器，多线程，反射，异常，网络，对象拷贝，JavaWeb，设计模式，Spring-Spring MVC，Spring Boot / Spring Cloud，Mybatis / Hibernate，Kafka，RocketMQ，Zookeeper，MySQL，Redis，Elasticsearch，Lucene。订阅不迷路，2021奥利给。

02

设计模式1：创建型-单例模式

如果你没有一颗最求完善的心，得过且过，请远离设计模式。如果你不知道设计原则，请远离设计模式。如果你为了学习设计模式而学习设计模式，又不是太需要设计模式，请远离设计模式。 ---- 单例模

03

Java对象为啥要实现Serializable接口？

最近这段时间一直在忙着编写Java业务代码，麻木地搬着Ctrl-C、Ctrl-V的砖，在不知道重复了多少次定义Java实体对象时“implements Serializable”的C/V大法后，脑海中突然冒出一个思维(A)：问了自己一句“Java实体对象为什么一定要实现Serializable接口呢？”，关于这个问题，脑海中的另一个思维(B)立马给出了回复“居然问这么幼稚和基础的问题，实现Serilizable接口是为了序列化啊！”，思维(A)：“哦，好吧！然而，然后呢？”

03

用了几年的 Fastjson，最终替换成了 Jackson！

> 公众号：[Java小咖秀](https://t.1yb.co/jwkk)，网站：[javaxks.com](https://www.javaxks.com)

03

Carson带你学序列化：手把手带你分析 Protocol Buffer使用源码

通过将结构化的数据进行串行化（序列化），从而实现数据存储 / RPC 数据交换的功能

04

Android：手把手带你分析 Protocol Buffer使用源码

通过将结构化的数据进行串行化（序列化），从而实现数据存储 / RPC 数据交换的功能

01

面试官看完我手写的单例直接惊呆了！

单例模式应该算是 23 种设计模式中，最常见最容易考察的知识点了。经常会有面试官让手写单例模式，别到时候傻乎乎的说我不会。

03

Java安全之CommonsCollections2链

前面学习的cc链都是基于commons-collections:commons-collections的3.1-3.2.1这几个版本的，但后面有了新的分支org.apache.commons:commons-collections4的4.0版本。可以发现groupId和artifactId都发生了改变，也就是形成了两个分支。这是因为commons-collections4不是用来替换commons-collections的一个新版本，而是修复旧的commons-collections的⼀些架构和API设计上的问题的一个拓展。两者的命名空间并不冲突，都可以放在同一个项目中。

反序列化与序列化过程分析

在学习反序列化的漏洞时,大致都是了解了一些知识,比如序列化就是写入对象,反序列化就是读取文件恢复对象,在这个过程中会自动调用一些方法,readObject,writeObject,静态代码块等,但是从来没有了解过这个过程是怎么样的,一直很模糊,所以在这篇文章里面会记录整个学习过程,参考的技术文章较少,可能会有错误,希望理解

01

为啥需要远程传输的Java bean一定要实现Serializable接口?

简单的写一个 hello world 程序，用不到序列化和反序列化。写一个排序算法也用不到序列化和反序列化。但是当你想要将一个对象进行持久化写入文件，或者你想将一个对象从一个网络地址通过网络协议发送到另一个网络地址时，这时候就需要考虑序列化和反序列化了。另外如果你想对一个对象实例进行深度拷贝，也可以通过序列化和反序列化的方式进行。

03

反序列化与序列化过程分析

在学习反序列化的漏洞时,大致都是了解了一些知识,比如序列化就是写入对象,反序列化就是读取文件恢复对象,在这个过程中会自动调用一些方法,readObject,writeObject,静态代码块等,但是从来没有了解过这个过程是怎么样的,一直很模糊,所以在这篇文章里面会记录整个学习过程,参考的技术文章较少,可能会有错误,希望理解

02

SOFA-Hessian反序列漏洞

笔者注意到https://github.com/alipay/sofa-hessian 提到了安全相关：

02

设计模式【1.2】-- 枚举式单例有那么好用么？

单例模式：是一种创建型设计模式，目的是保证全局一个类只有一个实例对象，分为懒汉式和饿汉式。所谓懒汉式，类似于懒加载，需要的时候才会触发初始化实例对象。而饿汉式正好相反，项目启动，类加载的时候，就会创建初始化单例对象。

00

设计模式【1.2】-- 枚举式单例有那么好用么？

单例模式：是一种创建型设计模式，目的是保证全局一个类只有一个实例对象，分为懒汉式和饿汉式。所谓懒汉式，类似于懒加载，需要的时候才会触发初始化实例对象。而饿汉式正好相反，项目启动，类加载的时候，就会创建初始化单例对象。

01

Java安全之RMI反序列化

RPC（Remote Procedure Call）远程过程调用，它是一种通过网络从远程计算机程序上请求服务，而不需要了解底层网络技术的协议。RPC的诞生起源于分布式的使用，最开始的系统都是在一台服务器上，这样本地调用本无问题。但随着网络爆炸式的增长，单台服务器已然不满足需求，出现了分布式，接口和实现类分别放到了两个服务器上，怎么调用呢？JVM不同，内存地址不同，不可能直接访问调用。由于 RPC 的使用还是过于麻烦，Java RMI 便由此产生。

02

Java序列化连环炮：是什么？为什么需要？如何实现？

遇到这个 Java Serializable 序列化这个接口，我们可能会有如下的问题

02

DRF框架（四）——序列化器和反序列化器

就是数据和模型类对象之间的转换，数据是前段传过来的数据，转换为模型类对象之后，才可以使用rest框架保存到数据库。将数据查询出来是模型类对象，只有转化为一定的格式，比如json格式之后，才可以返回给前段。

02

除了FastJson,你还有选择: Gson简易指南

这个周末被几个技术博主的同一篇公众号文章 fastjson又被发现漏洞，这次危害可导致服务瘫痪！刷屏，离之前的漏洞事件没多久，FastJson 又出现严重 Bug。目前项目中不少使用了 FastJson 做对象与JSON数据的转换，又需要更新版本重新部署，可以说是费时费力。与此同时，也带给我新的思考，面对大量功能强大的开源库，我们不能盲目地引入到项目之中，众多开源框架中任一个不稳定因素就足以让一个项目遭受灭顶之灾。趁着周末，在家学习下同样具备对象JSON相互转换功能的优秀开源框架 Gson，并且打算将今后项目使用 FastJson 的地方逐渐换成使用 Gson，记录下学习总结的内容，希望对小伙伴也有所帮助。

03

除了FastJson,你还有选择: Gson简易指南

前几天被几个技术博主的同一篇公众号文章 fastjson又被发现漏洞，这次危害可导致服务瘫痪！刷屏，离之前漏洞事件没多久，fastjson 又出现严重 Bug。目前项目中不少使用了 fastjson 做对象与JSON数据的转换，又需要更新版本重新部署，可以说是费时费力。与此同时，也带给我新的思考，面对大量功能强大的开源库，我们不能盲目地引入到项目之中，众多开源框架中某个不稳定因素就足以让一个项目遭受灭顶之灾。趁着周末，在家学习下同样具备JSON与对象转换功能的优秀开源框架 Gson，并且打算将今后项目使用 fastjson 的地方逐渐换成使用 Gson，记录下学习总结的内容，希望对小伙伴也有所帮助。

04

CommonsCollections6 反序列化链分析

CC6该条链用于解决在java高版本（java 8u71）中CC1无法利用进行替代的链，在java 8u71之后sun.reflect.annotation.AnnotationInvocationHandler#readObject的逻辑发生变化，导致cc1的链子在8u71之后无法使用。

05

Dubbo 高危漏洞！原来都是反序列化惹得祸

这周收到外部合作同事推送的一篇文章，【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞（CVE-2020-1948）通告。

01

Jackson 使用

老版本的 Jackson 使用的包名为 org.codehaus.jackson，而新版本使用的是com.fasterxml.jackson。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭