本篇面向新手,不涉及复杂细节。后续将逐步深入反射在安全测试、权限绕过、框架设计中的高级应用。
一、什么是 Java 反射机制?
反射(Reflection)是 Java 提供的一种强大机制,允许程序在运行时动态地:
获取类的信息(字段、方法、构造函数)修改字段的值调用任意方法创建类的实例
换句话说,反射可以“绕过正常语法限制”,在运行时动态操作类,就像拿到了一个“万能遥控器”。
二、反射为什么可能被攻击者利用?
反射本身是合法的开发工具,但:
当程序把类名、方法名、字段名等内容,暴露给用户控制时;攻击者就可能构造恶意输入,触发任意类加载、字段修改、方法执行……
这类问题常见于以下场景:
框架自动映射数据反序列化动态调用控制器三、反射的黑盒特征
反射漏洞从黑盒视角常见特征如下:
特征
描述
参数可控
URL 参数或 POST 数据中含有类名、方法名、字段名等
错误信息提示
报错信息中出现 java.lang.reflect、Method.invoke 等反射调用堆栈
动态调用类
某些接口调用后结果异常多变,如执行了不同的操作、抛出奇怪异常
JSON/XML 参数传入类路径时触发行为变化
像FastJson这种参数中包含类路径
四、反射风险示例分析
(1) 反射类示例
复制
package com.example.demo;
import org.springframework.stereotype.Component;
import java.lang.reflect.Method;
@Component
public class ReflectDemo{
public static void sayHello(){
System.out.println("Hello, welcome to www.geekserver.top !");
}
public static void execute(String className, String methodName)throws Exception {
// 通过字符串,加载目标类,获取对应对象
Class<?> clazz = Class.forName(className);
// 获取对应方法
Method method = clazz.getMethod(methodName);
// 执行方法
method.invoke(null); // 静态方法传 null
}
}1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.
(2) 控制器类:HTTP 接收请求并调用 execute
复制
package com.example.demo;
import org.springframework.web.bind.annotation.*;
@RestController
@RequestMapping("/reflect")
public class ReflectController{
@GetMapping
public String reflect(@RequestParam String className, @RequestParam String methodName){
try {
// 接收了客户端传入的类与方法字符串
ReflectDemo.execute(className, methodName);
return"方法已调用: " + className + "." + methodName;
} catch (Exception e) {
return"调用失败: " + e.getMessage();
}
}
}1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.
(3) 请求示例
访问如下链接即可调用反射方法:
复制
http://localhost:8080/reflect?className=com.example.demo.ReflectDemo&methodName=sayHello1.
输出:
复制
Hello, welcome to www.geekserver.top !1.
响应会看到:
复制
方法已调用: com.example.demo.ReflectDemo.sayHello1.
(4) 漏洞点分析:
这里的 execute() 方法,允许任意传入类名 + 方法名攻击者可以传入任意的 Java 类和公共静态方法,导致任意代码执行五、修复建议
建议
说明
✅ 避免让用户控制类名/方法名
禁止用户直接传入反射目标
✅ 使用白名单机制
限制反射只能调用特定类或方法
✅ 使用安全框架封装反射
例如通过 Spring Bean 安全注入而不是直接反射调用
✅ 对异常处理
不暴露反射调用堆栈信息,避免泄露类名信息
✅ 限制访问范围
只限具体白名单访问或者只在内部使用,禁止公网暴漏
六、常见攻击场景
场景
风险描述
⛓️ 反序列化链调用反射
攻击者控制反序列化对象,链中使用反射调用命令执行类
📦 JSON 接口反射绑定类
如使用 fastjson、jackson 等时类名可控,触发反射类加载与执行
🌐 Controller 接口动态调用类
有些 Web 框架支持动态路由,通过类名+方法名实现跳转,风险极大
七、总结
Java 反射 = 用字符串操作类结构 + 动态创建对象 / 调用方法 / 修改字段
复制
+---------------------+
| 用户传入类名/方法名 |
+----------+----------+
|
v
+----------------------+
| Class.forName(类名) | ←—— 通过类名获取Class对象
+----------------------+
|
v
+----------------------+
| clazz.getMethod(方法名) | ←—— 通过方法名获取Method对象
+----------------------+
|
v
+--------------------------+
| method.invoke(实例) 或 null | ←—— 调用方法(静态方法传null)
+--------------------------+
|
v
+----------------------+
| 方法被真正执行 |
+----------------------+1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.
