Java反射机制与安全问题_美创安全实验室的博客

Java反射机制与安全问题

0x00前言

近日，笔者在总结Java反序列化漏洞的过程中发现一个怎么也绕不开的词“Java反射机制“，以前笔者只知道这是一个实现Java”准动态“语言，方便开发人员调试程序的机制而已，没想到“反射”竟成了反序列化漏洞攻击的手段之一，所以在这篇文章中好好的总结一下，反射机制的原理以及存在还哪些安全问题。

反射机制思维导图：

0x01 Java反射机制定义

Java反射机制是指在运行状态中，对于任意一个类，都能够知道这个类的所有属性和方法；对于任意一个对象，都能够调用它的任意一个方法和属性；这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。

反射机制很重要的一点就是“运行时”，其使得我们可以在程序运行时加载、探索以及使用编译期间完全未知的 .class 文件。用一句话总结就是， 反射可以实现在运行时可以知道任意一个类的属性和方法。

0x02 反射机制优点与缺点

刚接触反射的我们可能会有一个疑问，为什么要用反射，直接创建对象他不香吗，这时候就涉及到了Java中动态编译与静态编译的概念，我们简单说一下。

静态编译：在编译时确定好类型，绑定对象。
动态编译：在运行时确定类型，绑定对象。最大限度地发挥了Java的灵活性，体现了多态性，并降低了类之间的耦合性。

优点：
反射机制可以实现动态创建对象和编译，体现出很大的灵活性，特别是在J2EE的开发者他的灵活性就表现得十分明显。例如，在一个大型软件的开发中，当程序被编译后发布，如果以后需要更新某些功能的时候，我们不可能要用户把以前软件的卸载，再重新安装新的版本。采用静态的话，需要把整个程序重新编译一次才可以实现功能的更新，而采用反射机制的话，它就可以不用卸载，只需要在运行时才动态的创建和编译，就可以实现该功能。

缺点：
对性能有影响。反射机制其实是一种解释操作，我们通过告诉JVM，我们希望做什么并且他们组我们的要求。这类操作总是慢于只直接执行相同的操作

0x03 反射机制原理

反射机制的原理基础是理解Class类，类是java.lang.Class类的实例对象，而Class是所有的类的类。对于普通的对象，我们在创建实例的时候通常采用如下方法：

Demo test = new Demo();
那么我们在创建class类的实例对象时是否可以同样用上面的方法创建呢 
Class c = new Class()；
答案是不行的，所以我们查看一下Class的源码，发现他的构造器是私有的，这意味着只有JVM可以创建Class的对象。
  
虽然我们不能像创建一个普通对象一样使用new，实例化一个对象，但是却可以通过随便一个已有的类得到一个Class对象，共有三种方式，如下：(假设存在一个叫Demo的普通类) 
实例化一个普通的其他类，然后对这个实例调用getClass（）方式获得Class对象 
Demo test = new Demo();
Class c1 = test.getClass();
任何数据类型（包括基本数据类型）都有一个“静态”的class属性，所以直接调用.class属性获得Class对象 
Class c2 = Demo.class;
调用Class类的forNmae方法，获得Class的对象 
Class c3 = Class.forName(“ReflectDemo.Demo”)//forName()
参数是真实路径，包名.类名
 
  
三种创建方式通常用第三种，原因是第一种都已经创建了对象，已经失去了反射机制使用的意义；第二种需要导入类的包，依赖性太强，不导包就抛出编译错误。一般都是用第三种方法，一个字符串可以用传入的方法也可以写在配置文件中等多种方法。 
反射机制原理就是把java类中的各种成分映射成一个个的java对象，所以我们可以在运行时调用类中的所有成员（变量、方法）。下图是反射机制中类的加载过程：
  
0x04 Java反射机制操作
 
通过前面的介绍，我们了解了怎样获得Class的对象，而且通过反射机制，可以获得Class对象的所有成员信息，那么我们简单介绍一下获取成员的一些函数： 
获取成员方法Method 
public Method getDeclaredMethod(String name, Class<?>... parameterTypes) 
//得到该类所有的方法，不包括父类的。 
public Method getMethod(String name, Class<?>... parameterTypes) 
//得到该类所有的public方法，包括父类的。 
两个参数分别是方法名和方法参数类的类类型列表（class type）
 假如类A存在四种成员方法，如下：
 
 利用getDeclaredMethod（）和getMethod（）函数，获取指定class中的所有/public 成员方法
 
  
获取构造函数Constructor 
`public Constructor<T> getDeclaredConstructor(Class<?>... parameterTypes)` 
//获得该类所有的构造器，不包括其父类的构造器。 
public Constructor<T> getConstructor(Class<?>... parameterTypes) 
//获得该类所有public构造器，包括父类。 
假如类A存在三种构造函数，两种public和一种private构造器
 
 利用getDeclaredConstructor()函数，获取全部构造器；利用getConstructor()函数，只获取public构造器。
 
  
获取成员变量Field 
public Field getDeclaredField(String name) 
//获得该类自身声明的所有变量，不包括其父类的变量。 
public Field getField(String name)
//获得该类自所有的public成员变量，包括其父类变量。 
类的成员变量也是一个对象，它是java.lang.reflect.Field的一个对象，所以我们通过java.lang.reflect.Field里面封装的方法来获取这些信息。
 A类中存在一些不同属性的成员变量：
 
 利用getDeclaredFields()函数，获取全部成员变量；利用getFields()函数，只获取public成员变量。
 
  
0x05 反射机制与反序列化漏洞
 
反序列化漏洞的关键函数：
 writeObject（）序列化，将Object输出成Byte流
 readObject（）反序列化，将Byte流输出成Object 
利用反射机制，重写readObject方法，加入能够进行命令执行的函数Runtime.getRuntime（），执行calc.exe命令调出计算器 
package reflectdemo;
import java.io.File;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.io.Serializable;
import java.lang.reflect.Method;
public class demo implements Serializable{
	private Integer age;
	private String name;
    public demo() {}
    public demo(String name,Integer age){ //构造函数，初始化时执行
    	this.age = age;
    	this.name = name;
    private void readObject(java.io.ObjectInputStream in) throws IOException,ClassNotFoundException{
    	in.defaultReadObject();//调用原始的readOject方法
    	try {//通过反射方法执行命令；
    	Method method= java.lang.Runtime.class.getMethod("exec", String.class);
    	Object result = method.invoke(Runtime.getRuntime(), "calc.exe");    
    	catch(Exception e) {
    		e.printStackTrace();
	public static void main(String[] args){
		demo x= new demo();
		operation.ser(x);
		operation.deser();
class operation {
	public static void ser(Object obj) {
		try{//序列化操作，写数据
	        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("object.obj"));
	        //ObjectOutputStream能把Object输出成Byte流
	        oos.writeObject(obj);//序列化关键函数
	        oos.flush();  //缓冲流 
	        oos.close(); //关闭流
	    } catch (FileNotFoundException e) {        
	        e.printStackTrace();
	    } catch (IOException e) {
	        e.printStackTrace();
	public static void deser() {
		try {//反序列化操作，读取数据
			File file = new File("object.obj");
			ObjectInputStream ois= new ObjectInputStream(new FileInputStream(file));
			Object x = ois.readObject();//反序列化的关键函数
			System.out.print(x);
			ois.close();
		} catch (FileNotFoundException e) {
			e.printStackTrace();
		} catch (Exception e) {
			e.printStackTrace();
从上面的反序列化漏洞可以看出，Java反射确实可以访问private的方法和属性，这是绕过第二级安全机制的方法（之一）。它其实是Java本身为了某种目的而留下的类似于“后门”的东西，或者说是为了方便调试。不管如何，它的原理其实是关闭访问安全检查。
  
总的来说，当我们发现漏洞想让程序实现命令执行的时候有两个方向可以努力 
控制代码、函数：就像命名注入等注入类漏洞一样数据被当作了代码执行；或者和上面的Demo代码一样重写readObject，加入自定义的代码
控制输入、数据、变量：利用代码中已有的函数和逻辑，通过改变输入内容的形态实现流程的控制（不同的输入会走不同的逻辑流程，执行不同的代码块中的代码） 
对于Java反序列化漏洞来说，这属于控制数据输入一类。在调用反射机制触发漏洞时，他有两个基本点必须要满足： 
有一个可序列化的类，并且该类是重写了readObject（）方法的（由于不存在代码注入，只能查找已有代码逻辑中是否有这样的类）
在重写的readObject（）方法的逻辑中有method.invoke函数出现，而且参数可控。 
0x06 反射安全
 
看了上面的内容，我们应该由衷的感叹，Java反射机制实在是太强大了。但是，如果我们对安全有一定意识的话，就会发现Java这个机制强大的似乎有些过头了。 
在处理反射时安全性是一个较复杂的问题。反射经常由框架型代码使用，由于这一点，我们可能希望框架能够全面接入代码，无需考虑常规的接入限制。但是，在其它情况下，不受控制的接入会带来严重的安全性风险。 
由于这些互相矛盾的需求，Java编程语言定义一种多级别方法来处理反射的安全性。基本模式是对反射实施与应用于源代码接入相同的限制： 
从任意位置到类公共组件的接入
类自身外部无任何私有组件接入
受保护和打包（缺省接入）组件的有限接入 
相对于C++来说，Java算是比较安全的语言了。这与它们的运行机制有密切的关系，C++运行于本地，也就是说几乎所有程序的权限理论上都是相同的。而Java由于是运行于虚拟机中，而不直接与外部联系，所以实际上Java的运行环境是一个“沙盒”环境。而且作为Java的安全模型，它包括了：字节码验证器、类加载器、安全管理器、访问控制器等一系列的安全组件，所以显得Java的安全机制比较复杂的。
                    Java反射机制与安全问题0x00前言近日，笔者在总结Java反序列化漏洞的过程中发现一个怎么也绕不开的词“Java反射机制“，以前笔者只知道这是一个实现Java”准动态“语言，方便开发人员调试程序的机制而已，没想到“反射”竟成了反序列化漏洞攻击的手段之一，所以在这篇文章中好好的总结一下，反射机制的原理以及存在还哪些安全问题。反射机制思维导图：0x01 Java反射机制定义Java反射...
				Java高级程序设计 第3章 Java反射机制 3.1 应用场景 3.2 相关知识3.3 实施过程 3.4 拓展知识3.5 拓展训练 3.6 课后小结3.7 课后习题 3.8 上机实训 Java高级程序设计实战教程第三章-Java反射机制全文共15页，当前为第1页。 3.1 应用场景 在一些开源框架里，如Spring，Struts，Hibernate，MyBatis等，应用程序会提供一个配置文件如xml文件或者properties，然后在Java类里面解析xml或properties里面的内容，得到一个字符串，然后用反射机制，根据这个字符串获得某个类的Class实例，这样就可以动态配置一些东西，不用每一次都要在代码里面去new或者做其他的事情，以后要改的话直接改配置文件，代码维护起来就很方便了，同时有时候要适应某些需求，Java类里面不一定能直接调用另外的方法，这时候也可以通过反射机制来实现。 应用程序通过读取配置文件来获取到指定名称的类的字节码文件并加载其中的内容进行调用，对一个类文件进行解剖，就可以取得任意一个已知名称的class的内部信息，包括其modifiers（诸如public，static等等）、superclass（例如Object）、实现之interfaces（例如Serializable），也包括fields和methods的所有信息，并可于运行时改变fields内容或调用methods。 Java高级程序设计实战教程第三章-Java反射机制全文共15页，当前为第2页。 3.2 相关知识 3.2.1 Java反射机制的概念 3.2.2 反射机制的功能 3.2.3 Java反射机制的相关API 3.2.4 使用反射机制的步骤 3.2.5 反射机制的应用场景 3.2.6 反射机制的优缺点 Java高级程序设计实战教程第三章-Java反射机制全文共15页，当前为第3页。 3.2.1 Java反射机制的概念 Java反射机制在Java运行状态中，对于任意一个类，我们都能够知道这个类的所有属性和方法；， 对于任意一个对象，我们都能够调用它的任意一个方法；。 这种动态获取的信息以及动态调用对象的方法的功能称为Java语言的反射机制。 Java高级程序设计实战教程第三章-Java反射机制全文共15页，当前为第4页。 3.2.2 反射机制的功能 反射机制的功能如下： 在运行时判定任意一个对象所属的类； 在运行时构造任意一个类的对象； 在运行时判定任意一个类所具有的成员变量和方法； 在运行时调用任意一个对象的方法； 生成动态代理；。 Java高级程序设计实战教程第三章-Java反射机制全文共15页，当前为第5页。 3.2.3 Java反射机制的相关API java.lang.reflect包提供了用于获取类和对象的反射信息的类和接口。反射API允许对程序访问有关加载类的字段，方法和构造函数的信息进行编程访问。它允许在安全限制内使用反射的字段，方法和构造函数对其底层对等进行操作。 java.lang.Class; //类 java.lang.reflect.Constructor;//构造方法 java.lang.reflect.Field; //类的成员变量 java.lang.reflect.Method;//类的方法 java.lang.reflect.Modifier;//访问权限 Java高级程序设计实战教程第三章-Java反射机制全文共15页，当前为第6页。 3.2.4 使用反射机制的步骤 导入Jjava.lang.relfect 包需 遵循以下3三个步骤： 第一步是获得你想操作的类的 java.lang.Class 对象； 第二步是调用诸如 getDeclaredMethods 的方法； 第三步使用 反射API 来操作这些信息。 Java高级程序设计实战教程第三章-Java反射机制全文共15页，当前为第7页。 3.2.5 反射机制的应用场景 Java反射机制是在运行状态中，对于任意一个类，都能够知道这个类的所有属性和方法；对于任意一个对象，都能够调用它的任意一个方法，常见的应用如下 逆向代码 ，例如反编译 与注解相结合的框架 例如Retrofit 单纯的反射机制应用框架 例如EventBus 2.x 动态生成类框架 例如Gson Java高级程序设计实战教程第三章-Java反射机制全文共15页，当前为第8页。 3.2.6 反射机制的优缺点 可以实现动态创建对象和编译，体现出很大的灵活性（特别是在J2EE的开发中它的灵活性就表现的十分明显）。通过反射机制我们可以获得类的各种内容，进行了反编译。对于JAVA这种先编译再运行的语言来说，反射机制可以使代码更加灵活，更加容易实现面向对象,总结如下。 优点：运行期类型的判断，
				Java 反射调用方法 - 不跳过安全检查、跳过安全检查和普通方法性能比较测试
java中反射提供灵活性同时，给运行效率带来了一定影响。写个代码测试一下
package com.xzlf.reflectTest;
import java.lang.reflect.Method;
import com.xzlf.bean.User;
 * 反射、反射跳过安全检查、普通方法调用性能比较
 * @author xzlf
public class Demo...
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
 * AccessibleObject类是Field、Method、和Constructor对象的基类。它提供了将反射的对象标
				什么是反射？
文章首发个人公众号 《小艾搞安全》
Java安全可以从反序列化漏洞说起，反序列化漏洞又可以从反射说起。反射是⼤多数语⾔⾥都必不可少的组成部分，对象可以通过反射获取他的类，类可以通过反射拿到所有⽅法（包括私有），拿到的⽅法可以调⽤，总之通过“反射”，我们可以将Java这种静态语⾔附加上动态特性。可能说完这一两句话大家还是不知道反射是个啥玩意，现在为了让大家容易理解，先为大家提出一个需求，通过这个需要来引出反射。需求如下：
根据配置文件re.properties指定信息，创建对象并调用方法。
				关于反射好处很多，为开发者提供了很多便利，但任何事情有好有坏，同样反射虽然有点很多，但同时也带来了性能的问题，反射会降低程序的性能。
在说反射的性能问题之前先简单了解下Java的安全性，Java语言是安全的，这是因为它在编译和加载时都会进行安全检查。每次都进行检查，就像我们每次做事前都要准备一下，这样势必会降低我们的执行效率，因此这也是Java程序运行起来相比较C和C++慢的原因。
在Java
				在学习Java的时候经常会发现有很多名称相似的类，比如HashMap和Hashtable，StringBuffer和StringBuilder等等，他们的名称相似，功能也有相似的地方，所以初学者在学习之中往往会很疑惑，他们都有哪些不同呢？而在深入研究这个问题的时候，就会发现他们都有这样两个概念，线程安全和线程不安全，这也就是本文主要讲的内容。 
1.什么是线程安全和线程不安全呢？ 
 假设A和...