我看到很多与运行恶意小程序有关的 Java CVE,但我很少看到影响 JVM 的服务器端组件的 CVE。示例:http ://www.f-secure.com/v-descs/exploit_java_cve_2012_4681_h.shtml
谁能用示例或来源(可能是服务器端与客户端 cves 的列表?)比较两者来解释差异?
我看到很多与运行恶意小程序有关的 Java CVE,但我很少看到影响 JVM 的服务器端组件的 CVE。示例:http ://www.f-secure.com/v-descs/exploit_java_cve_2012_4681_h.shtml
谁能用示例或来源(可能是服务器端与客户端 cves 的列表?)比较两者来解释差异?
一般来说,您不会看到很多影响服务器端的 CVE,因为服务器端几乎从不运行用户提供的代码(或攻击者的代码)。服务器端的漏洞主要是无法正确处理输入,以及配置问题,所以不是 Java 的错。
然而,客户端(applet 是一个很好的例子)有很多 CVE,因为用户的本地 JVM 实际上正在运行攻击者提供的字节码。然后可以触发和利用 JVM 中的漏洞。这些相同的漏洞通常存在于服务器端,但攻击者无法访问它们。
您看不到很多服务器端 CVE 的另一个原因是,大多数服务器端漏洞都是特定于应用程序/实现的,并且只影响一个应用程序。然而,像 WordPress 这样的大型网络应用程序有很多 CVE。