JRE 1.7漏洞
今天,我们的企业架构师提到在JRE 1.7中发现了一个最近的漏洞。我发现了一篇文章JRE
1.7漏洞,建议禁用Java
。
我正在工作中运行JDK 1.5和1.6(就像许多组织一样,我们不是最新的技术),所以那里没有问题。
在家里,我正在使用Java SE 7u6进行开发。我正在与Spring Security的Grails一起玩,试图继续学习。
我已经在家庭开发机器上的所有浏览器中都禁用了Java插件,并禁用了它。但是,有人知道安装JDK 7后我的家庭开发机器是否仍然容易受到攻击吗?我确实在US-
CERT上找到了这篇文章,宣布了漏洞通知:Oracle Java JRE 1.7
Expression.execute()无法限制对特权代码的访问。
听起来好像只要浏览器无法运行Applet,我就可以了(应该不要禁用Java Plug-in)。但是,Java Web Start /
JNLP呢?可以调用吗?除了Applets之外,这是我唯一想到的其他问题。
只是想知道我是否需要完成卸载Java SE 7并返回到JDK6的工作。
通过JRE 1.7了解此安全问题后,其他人做了什么?
问题答案:
最新漏洞的详细信息尚未公开。但是,我的理解是,它仅影响Java浏览器插件。建议的缓解措施是禁用Java浏览器插件。没有提到非插件Java,因此我认为可以肯定地认为,仅由于安装了Java
7,您的开发机就不会受到攻击。
但是,Java Web Start / JNLP呢?可以调用吗?
我不这么认为。我认为可以肯定地发现问题的人会想到这种潜在的攻击媒介。(但简单的常识表明,您一开始就不想启动随机的JNLP程序…)
-
> 正确的Java主目录(包括/bin目录)位于全局路径上 JAVA_HOME设置正确 执行命令java-fullversion工作
-
讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 任意密码找回 这是补天平台上的一个案例: http://www.118114.cn/reg.jsp 首先注册一个账号,然后找回。 我们收到的验证码是六位数。如果网站没有设置频率限制,或者最大尝试次数限制的话,那我们自然就会想到可以爆破它。 然后抓提交手机验证码的封包,我们可以看到没有任何图片验证码: 发送到 Burp 的 I
-
一、什么是漏斗? 漏斗模型可以对用户使用流程中的多个环节进行拆解和量化,进行多个关键用户行为之间的转化及流失分析,帮助我们有效的找到问题环节、进行优化。 二、有哪些应用场景? 在使用转化漏斗之前,你需要对产品上用户的使用流程有大致的了解,我们以下图为例: 在理想的情况下,全部用户都会顺利的沿某条行为路径成功抵达您期望的终点:成功支付。而实际情况是,总有一些用户会在某个环节操作失败或放弃,而漏斗可以
-
如何检测SonarQube LTS 8.2版本中的log4j漏洞。 我尝试了这个社区参考,但是找不到8.2版本的。 https://community.sonarsource.com/t/sonarqube-sonarcloud-and-the-log4j-vulnerability/54721
-
讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS 。恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览器该页之时,嵌入 Web 页面里的代码会被执行,从而达到恶意攻击用户的目的
-
讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 很多 Web 应用都提供了从其他服务器上获取数据的功能。使用用户指定的 URL,web 应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的 Web 应用作为代理,攻击远程和本地服务器。这种形式的攻击成为服务器请求伪造(SSRF)。 原理 <?php $url = @$_GET['url']