我想知道是否有关于旧版本中 JVM 安全性如何受到损害的教育示例集合。
阅读了一点 articles 之后on the IKVM 博客,我觉得我通过了解过去的安全问题案例而不是阅读一些简单的“做和不做”来学到更多东西(看起来大部分有趣的文章都被拉走了,真是可惜)。
哪里有类似的东西?
也许我的期望太高了:我不关心一些脚本小子的东西,但我正在寻找深入了解的高质量内容
- 安全问题是如何发现的?
- 代码练习会是什么样子?
- 有缺陷的代码是什么样的?
- 错误是如何修复的?
- 如何验证不存在错误?
- 导致安全问题的原因是什么? (纯粹的懒惰、性能问题、错误的假设……)
- 作为应用程序开发人员、库设计人员、VM 工程师,有哪些经验教训?
网上有类似的东西吗?
最佳答案
我认为对 JVM 漏洞利用的研究非常少。你到底想做什么?
- 打破标准 Java 编程限制:容易做到,因为您可以在运行标准字节码时访问所有内容。
- 在执行 java 代码时规避 Java 安全策略(例如,突破浏览器沙箱):这与 JVM 关系不大;它通常是基于浏览器的漏洞利用和其他漏洞利用的组合,能够启动小程序并包含标准 JVM 的引导类路径。
- 从 JVM 内部对操作系统发起缓冲区溢出攻击。
通常,突破浏览器沙箱是微不足道的,与 JVM 本身无关:http://jouko.iki.fi/adv/javaplugin.html
最好的信息可以从 BlackDown 等开源 JVM 获得。在 SVN 变更日志中搜索“exploit”、“bug”、“sandbox”等词并查看 SVN Diff。
关于java - Java 平台的描述和运行代码是否存在一系列老的安全问题?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8846477/