1. Dom
  2. Pytanie i odpowiedź
  3. Czy istnieje zbiór starych problemów bezpieczeństwa z opisem i ćwiczeniem kodu platformy Java?

Czy istnieje zbiór starych problemów bezpieczeństwa z opisem i ćwiczeniem kodu platformy Java?

2012-01-13 6 views
6

Zastanawiam się, czy istnieje zbiór edukacyjny przykładów na to, w jaki sposób bezpieczeństwo JVM zostało naruszone w starych wersjach.Czy istnieje zbiór starych problemów bezpieczeństwa z opisem i ćwiczeniem kodu platformy Java?

Po przeczytaniu trochę IKVM blogu articlesonthe, mam wrażenie, że uczę się bardziej poprzez zrozumienie przeszłości przypadki problemów bezpieczeństwa zamiast czytać jakiś zwykły „Czy i Dont w” (wygląda jak większość ciekawych artykułów mieć został wyciągnięty, co za wstyd).

Czy jest coś takiego gdzieś dostępnego?

Może mam zbyt silne oczekiwania: Nie dbam o jakimś skrypcie kiddy rzeczy, ale szukam dla jakości treści wchodząc na głębokość około

  • Jak kwestia bezpieczeństwa została odkryta?
  • Jak wyglądałby kod ćwiczeń?
  • Jak wygląda błędny kod?
  • W jaki sposób usunięto błąd?
  • Jak można sprawdzić brak błędu?
  • Jakie były przyczyny, które spowodowały problem z bezpieczeństwem? (Czyste lenistwo, obawy dotyczące wydajności, błędne założenia, ...)
  • Jakie są wnioski, jako programista aplikacji, projektant bibliotek, inżynier VM?

Czy coś takiego jest dostępne w sieci?

Źródło

2012-01-13 soc

Odpowiedz

2

Myślę, że jest bardzo mało badań na temat exploitów JVM. Co chcesz dokładnie zrobić?

  • Przerwij standardowe ograniczenia programowania Java: łatwe do zrobienia, ponieważ możesz uzyskać dostęp do wszystkiego przy uruchomionym standardowym kodzie bajtowym.
  • Określaj zasady bezpieczeństwa Java podczas wykonywania kodu Java (np. Wyłom z obszaru izolowanego przeglądarki): Ma to niewiele wspólnego z JVM; często jest to kombinacja exploitów opartych na przeglądarce i innych exploitów, aby móc uruchomić aplet i uwzględnić ścieżkę klasy rozruchowej standardowej maszyny JVM.
  • Uruchom atak przepełnienia bufora w systemie operacyjnym z poziomu JVM.

Często wyrwanie się z piaskownicy przeglądarki jest trywialne i nie ma nic wspólnego z JVM samego: http://jouko.iki.fi/adv/javaplugin.html

Najlepszym informacje będą dostępne od JVM open source jak blackdown. Przeszukaj dziennik zmian SVN dla słów "exploit", "bug", "sandbox" i spójrz na SVN Diff's.

Źródło

2012-01-25 10:05:51 parasietje

Powiązane problemy

 Powiązane problemy