java - 解释 Java *客户端* 安全问题和 *服务器* 安全问题之间的区别

标签 java security jvm

我看到很多与运行恶意小程序相关的 Java CVE,但我很少看到影响 JVM 服务器端组件的 CVE。示例:http://www.f-secure.com/v-descs/exploit_java_cve_2012_4681_h.shtml

任何人都可以通过示例或来源(可能是服务器端与客户端 cves 的列表?)来解释两者之间的区别吗?

最佳答案

一般来说,您不会看到很多影响服务器端的 CVE,因为服务器端实际上从不运行用户提供的代码(或攻击者的代码)。服务器端的漏洞主要是无法正确处理输入和配置问题,所以不是 Java 的错。

然而,客户端(applet 就是一个很好的例子)有很多 CVE,因为用户的本地 JVM 实际上正在运行攻击者提供的字节代码。然后可以触发和利用 JVM 中的漏洞。这些相同的漏洞通常存在于服务器端,但攻击者无法访问它们。

您看不到很多服务器端 CVE 的另一个原因是,大多数服务器端漏洞都是特定于应用程序/实现的,并且只影响一个应用程序。有quite a few CVEs for big web apps like WordPress , 然而。

关于java - 解释 Java *客户端* 安全问题和 *服务器* 安全问题之间的区别,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16952184/

相关文章:

java - 如何在onchange中同时调用两个javascript?

c++ - 在 Windows 上读取性能数据计数器是否需要任何特殊的安全权限?

security - 网址扫描工具

java - 找出谁调用了 jvm shutdown hook

java - 如何修复 java.lang.UnsupportedClassVersionError : Unsupported major. 次要版本

java - 如果为假,如何获得正则表达式检查结果?

java - 更好的解决方案而不是 Java 中的嵌套同步块(synchronized block)?

c# - .NET Framework 4.7 Web 应用程序中的 AntiXSS - 如何应用它

java - HotSpot 中 Runnable 的成本

java - 循环中的 Thread.sleep 不起作用,有其他选择吗?