Új hozzászólás Aktív témák
-
modeller
aktív tag
Nem kell bevninni bytecode-ot, rosszindulatú user input (vagy, ha api-t/service-t publikálsz, akkor egy service hivás is) triggelrelheti a lyukat.
(a lyuk már eleve ott van, hogy pl. egy hibás fgv-t hivsz, ami a frameworkben hibás. Tehát nem a lyukat kell kintről beletenni a kódba, hanem csak triggerelni, a framework hibáját)[ Szerkesztve ]
-
modeller
aktív tag
Szerintem te nem egészen érted miről van szó, de talán mindegy is.
Még jó, hogy gyorsan leszedted a hogyan triggerelhet user input egy lyukat kérdésedet, mert már éppen irtam volna egy LMGIFY-et, hogy tovább növeljem a szinvonalat...
"persze az általad linkelt cikk az egy osztály engedélyeinek kijátszásáról szól, nem pedig programozási hibáról"
Értem, tehát, ha az osztály engedélyei kijátszhatóak és ezáltal az egész java sandboxból ki lehet törrni és bármit csinálni az nem programozási hiba. Nyilván feature. Nem tudom miért kaphatta a legmagsabb veszélyességi besorolást az oracle-től, de tudod mit: nem is akarom tudni!
[ Szerkesztve ]
-
rt06
veterán
ezek a programozok mar csak ilyenek
az elobbi post-ombol kiszedtem a linket (most visszatettem, mert hirtelen nem talalok jre-set, es jobban utananezni lusta vagyok), mert nem jre, hanem commons-fileupload, de azt sem pistike irja (apache cucca) es megis, volt benne egy olyan hiba, ami megfelelo user input hatasara vegtelen ciklusba kergette a kodotPolitikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
attila9988
őstag
A virtuális gép, amiben a bytecode fut, az a HotSpot.
Nem egészen... a virtuális gép, az a jvm. A hotspot meg ennek egy része, ami a jit működési mechanizmusát szabályozza.
„Csak az apró titkokat kell védeni. A nagy felfedezéseket a nyilvánosság hitetlensége védi.” (Marshall McLuhan)
Új hozzászólás Aktív témák
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen