요즘에는 코드 주입, 악용, 버퍼 -, 스택 - 및 힙 - 오버플로 등을 읽고 코드를 주입하고 실행할 수 있습니다. 이 물건이 자바와 어떤 관련이 있는지 궁금합니다.Java에서 코드 삽입이 가능합니까?
Java 언어에는 포인터가 없습니다. 그러나 JVM은 힙 및/또는 스택으로 데이터를 구성하지 않습니다. PHP 같은 eval 함수가 없다는 것을 알고 있으므로 Java 코드로 입력을 쉽게 사용할 수 없습니다. 바이트 코드 수준에서 무슨 일이 일어나고 있는지 잘 모르겠습니다.
입력이 필터링되지 않는 경우 예를 들어 Java EE 애플리케이션에서 XSS가 가능하다고 생각합니다. 그러나 주입 된 코드가 JVM이 아닌 브라우저에서 실행되기 때문에 이것이 자바 스크립트 삽입이 아닌가?
자바에서는 어떤 코드 삽입이 가능하며 어떤 코드 삽입이 가능하지 않습니까? 그리고 다른 Java 플랫폼 언어에서도 마찬가지입니까?
미리 감사드립니다.
에 대한
체크 owasp 웹 사이트는 코드 주입 반드시 효율적으로 할 필요가 없습니다. 대부분의 악용에는 고성능이 필요하지 않습니다 .... 요점은 많은 앱이 "코드 승인, 컴파일, 실행"기능을 제공하지 않지만 취약한 앱은 취약한 기능을 제공한다는 것입니다. – sleske
"Java 컴파일러가 경량 라이브러리 서비스로 노출되면"잘 있습니다. 이미 사용하고 있습니다 (http://java.sun.com/javase/6/docs/api/javax/tools를 확인하십시오). /JavaCompiler.html). 그러나 코드 삽입이 작동하려면 공격 받고있는 앱이 JavaCompiler를 사용해야합니다. 가장 많이 다행히도 JavaCompiler는 사용하지 않습니다. – sleske
- 1 취약점에 대한 논의가 다소 혼란 스럽기 때문에 ... – sleske