java运行库一键修复
本文将重点介绍如何解决与第三方库相关的问题
- 不能被规避
- 难以排除/绕过/更换
- 只需不提供错误修正
在这种情况下,解决问题仍然是一项艰巨的任务。
作为这种情况的诱因,请考虑对“哈希索引”数据结构的攻击,例如java.util.Hashtable和java.util.HashMap (对于不熟悉此类攻击的人,我建议查看以下内容28C3: 对Web应用程序进行拒绝服务攻击变得容易( )。
长话短说,核心问题是使用非加密哈希函数(在其中查找冲突很容易)。 根本原因隐藏在java.lang.String.hashCode()函数中。 显而易见的方法是修补java.lang.String类,这很困难,原因有两个:
- 它包含本机代码
- 它属于Java核心类,它们随Java安装一起提供,因此不受我们的控制
第一点将迫使我们修补体系结构和特定于OS的库,我们应该在可能的情况下规避这些库。 第二点是正确的,但它会更灵活一些,我们将在下面看到。
好的,让我们重新考虑:修补本机很脏,我们不急于采用这种方式–我们必须为不愿意修复其代码的其他人(在本例中为SDK SDK库)做一些工作。
尝试:
哈希问题涉及类java.util.Hashtable和java.util.HashMap ,它们不使用任何本机代码。 修补这些类要容易得多,因为为所有体系结构和OS提供一个已编译的类就足够了。
我们可以使用提供的错误解决方案之一,并用固定版本调整(或替换)原始类。 困难在于在不接触核心