xitio, publicación de artículos gratis, participación ciudadana, notas de prensa
  Usuario: Clave:    
 
 

PUBLICAR ARTÍCULOS EN xitio ES GRATIS, BASTA CON REGISTRARTE
Industria Pintura Mi Lugar El mundo Sociedad Ecologia OM Humor Msica Poltica Economa Teatro Ciencia Tecnologa Internet Posicionamiento Diseo Deporte Salud Letras Cine Juegos Miscelneas Cultura Escultura Pintura Publicaciones Clasificados Alternativas Empleos Televisin Turismo Arte Educacin Inmobiliarias Modas Negocios
Documento sin título
 
 Documento sin título
 
Documento sin título
Home Tecnologa
Xnechijli01 8/18/2022 10:52:08 AM
Xnechijli01
Los gadgets y la seguridad de Java
Los gadgets pueden poner en peligro la seguridad de aplicaciones Java
votos 0 comentarios 0 enviar vínculo a un amigo
Tags Java Lenguajes de programacin
 
El cdigo de Java puede ser vulnerable si no se revisa con frecuencia.
 

El término gadget tiene algunos significados específicos en el mundo de la explotación de vulnerabilidades. Para el titulado "An In-depth Study of Java Deserialization Remote-Code Execution Exploits and Vulnerabilities", los autores usan la palabra para referirse a un método Java potencialmente explotable accesible para el atacante. Una biblioteca puede contener dispositivos que se pueden encadenar, por lo que pueden operar en una secuencia.

Aprovechar una vulnerabilidad de deserialización puede implicar una cadena de ataque complicada o puede ser tan simple como realizar una solicitud GET a través de una red. Nuestra conclusión principal es que la modificación de un detalle de aspecto inocente en una clase, como hacerlo público, ya puede introducir un dispositivo. Los investigadores analizaron 19 exploits para vulnerabilidades en 14 bibliotecas (algunas con varias versiones): beanshell, clojure, commons-beanutils, commons-collections, groovy, rome, js-rhino, spring-beans, spring-core, spring-aop, click-nodeps, javax.servlet, vaadin-server y vaadin-shared.

Al analizar los 19 exploits RCE, identificamos varias formas de introducir un dispositivo en una biblioteca: agregar clases, métodos e interfaces, o cambiar la firma de los métodos. Dado que los gadgets son necesarios para crear un exploit de deserialización, la modificación del código que inserta nuevos gadgets claramente no es lo ideal. De las bibliotecas y sus variantes probadas, 14 se han parcheado para eliminar dispositivos potenciales. Esto se puede hacer de varias maneras, como eliminar java.io.Serializable de la lista de interfaces en una clase vulnerable, eliminar la clase vulnerable en su totalidad o introducir una verificación de seguridad, entre otras técnicas.

Seis de las bibliotecas evaluadas (commons-beanutils1.9.4, rome1.0, spring-beans-3.0.0.RELEASE, click-nodeps-2.3.0-RC1, javax-servlet-api-4.0.1 y vaadin-shared -7.4.0.beta1) aparecen como no parcheados. Entonces, si sus aplicaciones incluyen alguno de ellos, es posible que desees considerar cómo abordarlo. Sin embargo, esperar una solución puede no ser la mejor opción.

Al estudiar parches de dichas bibliotecas, observaron los investigadores que el tiempo que se emplea para retirar los gadgets varía entre varios meses y casi 12 años, con una media de casi seis años. Por lo tanto, parece que las vulnerabilidades de deserialización aún no reciben la atención de los profesionales que realmente deberían merecer. Por supuesto, quienes han tomado un curso de Java online están más capacitados para realizar dichas modificaciones.
Te gustó esta nota, compártela con tus amigos
ico_copada.gif ico_delicious.png ico_enchilame.gif ico_facebook.png ico_fresqui.gif ico_google.gif ico_meneame.gif ico_myspace.gif ico_technorati.png ico_twitter.gif ico_yahoo.png
Visitá otras notas de Xnechijli01
Cmo eliminar filas en blanco en Microsoft Excel
Convertir datos a grfico de lneas en Excel
Problemas de seguridad en las bases de datos.
Advertencia las debilidades de seguridad de Java
Los inicios de Java a ms de 30 aos de su creacin
El problema de conversin de JOBOL
 
Comentarios 0  
Enviá tu comentario
Para dejar tu comentario debes ser miembro de xitio.
 
Documento sin título
 
Documento sin título
 
 
 
 
Documento sin título
 
Nos contaron que leen
Documento sin título
 
Documento sin título
ULTIMOS PUBLICADOS Internet
La administracin electrnica y la firma digital online
contenidos7
Tramites online que nos hacen las cosas ms cmodas y sencillas
 
Internet 4/26/2022 7:42:04 AM
 
La firma digital y la comodidad de hacer trmites en casa
contenidos7
Certificados rpidos a travs de internet
 
Internet 12/20/2021 6:21:33 AM
 
Tramitacin de certificados online
contenidos7
Certificados de matrimonio, nacimiento, defuncin y ultimas voluntades, sin necesidad de desplazamientos
 
Internet 12/23/2020 2:52:59 AM
 
Gestionar reservas de forma sencilla y eficaz
contenidos7
Gestionar reservas de forma automtica en la propia web y en todos los portales
 
Internet 2/13/2020 5:32:50 AM
 
Excepciones permitidas en PHP
Xnechijli01
PHP y las excepciones permitidas
 
Internet 10/28/2019 11:52:54 PM
 
Precarga de RFC en PHP
Xnechijli01
PHP incorpora la precarga de RFC
 
Internet 10/28/2019 11:47:18 PM
 
Funcin de nulidad en PHP
Xnechijli01
Mejoras en nulidad en PHP
 
Internet 10/28/2019 11:41:31 PM
 
Funciones de PHP 7.4
Xnechijli01
Qu caractersticas tiene PHP 7.4
 
Internet 10/28/2019 11:32:59 PM
 
Cifras del uso de PHP
Xnechijli01
Muchos usuarios del desarrollo web programan en PHP
 
Internet 10/23/2019 10:24:07 PM
 
Cinco ventajas de PHP
Xnechijli01
Cinco ventajas del desarrollo web por usar PHP
 
Internet 10/23/2019 10:21:54 PM
 
Documento sin título
 
Documento sin título
 
Documento sin título
 
 
Documento sin título
 
 
 
Documento sin título
Copyright 2011 y actual de xitio | Todos los derechos reservados
 
Publicar es gratis, sólo tienes que registrarte y escribir.