1
也許這不是一個像這樣的問題的正確平臺,但是有人知道你在哪裏(或者如果)可以找到關於當前Java 7 SE安全問題的詳細信息,如these ones?Java 7安全問題信息
我認爲這些都沒有發佈,因爲這本質上將記錄如何利用這些漏洞,但只是想我會問,如果有什麼地方可以獲得更多的信息,可以擴展到「完整的Java安全沙箱旁路」。我發現Alex Millers blog,但似乎幾年未更新。
謝謝。
A
回答
0
根據我的經驗,遷移到最新版本的安全風險通常低於保留舊版本的安全風險。理由是安全研究人員通常會在最新版本中快速指出問題。通常這些將很快解決。儘管開發者很少回到較早的版本,除非問題真的很普遍,並且他們可以編寫一個不會破壞大量應用程序的解決方案。
現實情況是,我們僅僅因爲兩個原因而不瞭解突出的安全問題。
首先是公司不希望發佈尚未解決的問題。第二個是黑帽黑客對發佈他們知道的問題毫無興趣。
坦率地說,即使Oracle不知道Java 6上的所有突出安全問題......他們只知道那些好人告訴他們的東西,他們絕不會公開發布它直到他們發佈了補丁。即使這樣,修補程序描述往往會模糊他們正在修復的內容。
如果我是一名安全審計員,我會嘗試將自己插入那些討論黑客入侵Java並獲取樂趣和收益的論壇和站點,並且只是看看會發生什麼。
+1
那麼,爲什麼舊版本不太安全的一個**大**理由是,黑帽子可以反向解決新版本發佈的修復程序中的問題。這並不總是微不足道的,但總的來說,你應該假設一個足夠老的軟件有幾個大的,衆所周知的安全漏洞。 (這甚至不考慮在修復發佈後安全研究完全披露的情況)。 –
0
當安全研究人員負責(並且製作公司不會分別坐在他們的屁股上太久),那麼一旦軟件的固定版本發佈並且有些廣泛傳播,PoC通常只會獲得發佈權。
如果您的興趣是研究,那麼已經發布的較早的已發佈的漏洞應該提供大量的研究內容。
如果您的興趣是對這些漏洞的積極利用,那麼不要指望我(或本網站上的任何其他人)提供任何幫助,我希望。
+0
別擔心,我的意圖很高尚。我們正在考慮更新我們的應用程序,以便從6開始在SE7上運行,並且想知道更多關於當前漏洞的信息,以及它是否是一個好主意,或者等到2月份的下一個CPU。我發現Oracle的Octobers CPU解決了Security Explorations(29和50)提出的所有問題。感謝您的信息。 – MeanwhileInHell
相關問題
- 1. PHP安全信息問題
- 2. Drupal 7安全問題
- 3. Java安全問題
- 4. 安全信息消息彈出框的問題
- 5. 緩存安全信息安全嗎?
- 6. Java Applet安全問題
- 7. Windows SharePoint Services - 瀏覽用戶信息/登錄安全問題
- 8. asp.net mvc(跨域安全問題)的地理位置信息
- 9. 套接字通信安全問題
- 10. Experian安全問題信用檢查API
- 11. Visual Basic Ftp信息安全
- 12. RPC安全信息缺少
- 13. 安全的web.config信息
- 14. PHP的安全信息?
- 15. Gson安全問題
- 16. 短信息安排問題(Android)
- 17. Rails安全問題
- 18. WCF消息安全相關問題
- 19. JSON安全問題?
- 20. 安全問題
- 21. 安全問題?
- 22. 安全問題
- 23. Android安全問題
- 24. 持續安全信息屬性=真實和持續安全信息屬性=假
- 25. 春季安全(Java的配置)問題
- 26. Java的安全性問題ScriptEngine
- 27. IFRAME安全問題中的Java腳本
- 28. java彈簧的安全問題
- 29. Java DLL安全常見問題
- 30. Java安全策略文件問題
您可能會要求將其移至security.stackexchange.com – NotMe