Keresés: - [Re:] Továbbra is a Java a legsebezhetőbb

Legfrissebb anyagok

Mobilarena témák

PROHARDVER! témák

IT café témák

GAMEPOD témák

LOGOUT témák

Keresés

Új hozzászólás Aktív témák

#43 attila9988 őstag dtracer #22

Új Válasz 2014-08-18 11:12:06 #43
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

attila9988

őstag

válasz dtracer #22 üzenetére

A virtuális gép, amiben a bytecode fut, az a HotSpot.
Nem egészen... a virtuális gép, az a jvm. A hotspot meg ennek egy része, ami a jit működési mechanizmusát szabályozza.
#19 rt06 veterán dtracer #17

Új Válasz 2014-08-14 20:03:42 #19
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

rt06

veterán

válasz dtracer #17 üzenetére

ezek a programozok mar csak ilyenek
az elobbi post-ombol kiszedtem a linket (most visszatettem, mert hirtelen nem talalok jre-set, es jobban utananezni lusta vagyok), mert nem jre, hanem commons-fileupload, de azt sem pistike irja (apache cucca) es megis, volt benne egy olyan hiba, ami megfelelo user input hatasara vegtelen ciklusba kergette a kodot
#18 modeller aktív tag dtracer #17

Új Válasz 2014-08-14 19:58:40 #18
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

modeller

aktív tag

válasz dtracer #17 üzenetére

Szerintem te nem egészen érted miről van szó, de talán mindegy is.
Még jó, hogy gyorsan leszedted a hogyan triggerelhet user input egy lyukat kérdésedet, mert már éppen irtam volna egy LMGIFY-et, hogy tovább növeljem a szinvonalat...
"persze az általad linkelt cikk az egy osztály engedélyeinek kijátszásáról szól, nem pedig programozási hibáról"
Értem, tehát, ha az osztály engedélyei kijátszhatóak és ezáltal az egész java sandboxból ki lehet törrni és bármit csinálni az nem programozási hiba. Nyilván feature. Nem tudom miért kaphatta a legmagsabb veszélyességi besorolást az oracle-től, de tudod mit: nem is akarom tudni!
#15 modeller aktív tag dtracer #13

Új Válasz 2014-08-14 19:36:08 #15
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

modeller

aktív tag

válasz dtracer #13 üzenetére

Nem kell bevninni bytecode-ot, rosszindulatú user input (vagy, ha api-t/service-t publikálsz, akkor egy service hivás is) triggelrelheti a lyukat.
(a lyuk már eleve ott van, hogy pl. egy hibás fgv-t hivsz, ami a frameworkben hibás. Tehát nem a lyukat kell kintről beletenni a kódba, hanem csak triggerelni, a framework hibáját)