对于这样的问题,可能不是正确的平台,但有谁知道在哪里(或是否)可以找到有关当前 Java 7 SE 安全问题的详细信息,比如这些?
我想这些都没有发布,因为这基本上会记录如何利用这些漏洞,但我只是想我会问一下,如果在某个地方你可以获得更多关于“完全绕过 Java 安全沙箱”的信息。我找到了Alex Millers 博客,但它似乎已经有几年没有更新了。
谢谢。
对于这样的问题,可能不是正确的平台,但有谁知道在哪里(或是否)可以找到有关当前 Java 7 SE 安全问题的详细信息,比如这些?
我想这些都没有发布,因为这基本上会记录如何利用这些漏洞,但我只是想我会问一下,如果在某个地方你可以获得更多关于“完全绕过 Java 安全沙箱”的信息。我找到了Alex Millers 博客,但它似乎已经有几年没有更新了。
谢谢。
当安全研究人员负责(并且生产公司不会坐视各自的驴太久)时,PoC 通常只有在软件的固定版本发布并在一定程度上得到广泛传播时才会发布。
如果您的兴趣是研究,那么较旧的、已经发布的漏洞应该提供大量的研究内容。
如果您的兴趣是积极利用这些漏洞,那么不要指望我(或此站点上的任何其他人,我希望)提供任何帮助。
根据我的经验,与使用旧版本相比,迁移到最新版本的安全风险通常较小。原因是安全研究人员通常很快就会跳到最新版本来指出问题。通常这些问题会很快得到解决。而开发人员很少回到旧版本,除非问题真的很普遍,并且他们可以编写一个不会破坏很多应用程序的解决方案。
现实情况是,我们这些凡人并不了解突出的安全问题,原因有两个。
首先是公司不想发布尚未解决的问题。第二个是黑帽黑客对发布他们知道的问题的兴趣为零。
坦率地说,即使是 Oracle 也不知道 Java 6 上所有突出的安全问题。他们只知道好人告诉他们的那些问题,而且他们永远不会公开发布给我们,直到他们知道为它发布了一个补丁。即使这样,补丁描述也往往会混淆他们正在修复的确切内容。
如果我是一名安全审计员,我会尝试将自己插入那些讨论黑客攻击 java 以获得乐趣和利润的论坛和网站,并简单地观察所发生的事情。