我看到很多与运行恶意小程序相关的 Java CVE,但我很少看到影响 JVM 服务器端组件的 CVE。示例:http://www.f-secure.com/v-descs/exploit_java_cve_2012_4681_h.shtml
任何人都可以通过示例或来源(可能是服务器端与客户端 cves 的列表?)来解释两者之间的区别吗?
最佳答案
一般来说,您不会看到很多影响服务器端的 CVE,因为服务器端实际上从不运行用户提供的代码(或攻击者的代码)。服务器端的漏洞主要是无法正确处理输入和配置问题,所以不是 Java 的错。
然而,客户端(applet 就是一个很好的例子)有很多 CVE,因为用户的本地 JVM 实际上正在运行攻击者提供的字节代码。然后可以触发和利用 JVM 中的漏洞。这些相同的漏洞通常存在于服务器端,但攻击者无法访问它们。
您看不到很多服务器端 CVE 的另一个原因是,大多数服务器端漏洞都是特定于应用程序/实现的,并且只影响一个应用程序。有quite a few CVEs for big web apps like WordPress , 然而。
关于java - 解释 Java *客户端* 安全问题和 *服务器* 安全问题之间的区别,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16952184/