xitio, publicación de artículos gratis, participación ciudadana, notas de prensa
  Usuario: Clave:    
 
 

PUBLICAR ARTÍCULOS EN xitio ES GRATIS, BASTA CON REGISTRARTE
Industria Pintura Mi Lugar El mundo Sociedad Ecologia OM Humor Msica Poltica Economa Teatro Ciencia Tecnologa Internet Posicionamiento Diseo Deporte Salud Letras Cine Juegos Miscelneas Cultura Escultura Pintura Publicaciones Clasificados Alternativas Empleos Televisin Turismo Arte Educacin Inmobiliarias Modas Negocios
Documento sin título
 
 Documento sin título
 
Documento sin título
Home Tecnologa
Xnechijli01 8/18/2022 10:52:08 AM
Xnechijli01
Los gadgets y la seguridad de Java
Los gadgets pueden poner en peligro la seguridad de aplicaciones Java
votos 0 comentarios 0 enviar vínculo a un amigo
Tags Java Lenguajes de programacin
 
El cdigo de Java puede ser vulnerable si no se revisa con frecuencia.
 

El término gadget tiene algunos significados específicos en el mundo de la explotación de vulnerabilidades. Para el titulado "An In-depth Study of Java Deserialization Remote-Code Execution Exploits and Vulnerabilities", los autores usan la palabra para referirse a un método Java potencialmente explotable accesible para el atacante. Una biblioteca puede contener dispositivos que se pueden encadenar, por lo que pueden operar en una secuencia.

Aprovechar una vulnerabilidad de deserialización puede implicar una cadena de ataque complicada o puede ser tan simple como realizar una solicitud GET a través de una red. Nuestra conclusión principal es que la modificación de un detalle de aspecto inocente en una clase, como hacerlo público, ya puede introducir un dispositivo. Los investigadores analizaron 19 exploits para vulnerabilidades en 14 bibliotecas (algunas con varias versiones): beanshell, clojure, commons-beanutils, commons-collections, groovy, rome, js-rhino, spring-beans, spring-core, spring-aop, click-nodeps, javax.servlet, vaadin-server y vaadin-shared.

Al analizar los 19 exploits RCE, identificamos varias formas de introducir un dispositivo en una biblioteca: agregar clases, métodos e interfaces, o cambiar la firma de los métodos. Dado que los gadgets son necesarios para crear un exploit de deserialización, la modificación del código que inserta nuevos gadgets claramente no es lo ideal. De las bibliotecas y sus variantes probadas, 14 se han parcheado para eliminar dispositivos potenciales. Esto se puede hacer de varias maneras, como eliminar java.io.Serializable de la lista de interfaces en una clase vulnerable, eliminar la clase vulnerable en su totalidad o introducir una verificación de seguridad, entre otras técnicas.

Seis de las bibliotecas evaluadas (commons-beanutils1.9.4, rome1.0, spring-beans-3.0.0.RELEASE, click-nodeps-2.3.0-RC1, javax-servlet-api-4.0.1 y vaadin-shared -7.4.0.beta1) aparecen como no parcheados. Entonces, si sus aplicaciones incluyen alguno de ellos, es posible que desees considerar cómo abordarlo. Sin embargo, esperar una solución puede no ser la mejor opción.

Al estudiar parches de dichas bibliotecas, observaron los investigadores que el tiempo que se emplea para retirar los gadgets varía entre varios meses y casi 12 años, con una media de casi seis años. Por lo tanto, parece que las vulnerabilidades de deserialización aún no reciben la atención de los profesionales que realmente deberían merecer. Por supuesto, quienes han tomado un curso de Java online están más capacitados para realizar dichas modificaciones.
Te gustó esta nota, compártela con tus amigos
ico_copada.gif ico_delicious.png ico_enchilame.gif ico_facebook.png ico_fresqui.gif ico_google.gif ico_meneame.gif ico_myspace.gif ico_technorati.png ico_twitter.gif ico_yahoo.png
Visitá otras notas de Xnechijli01
Cmo eliminar filas en blanco en Microsoft Excel
Convertir datos a grfico de lneas en Excel
Problemas de seguridad en las bases de datos.
Advertencia las debilidades de seguridad de Java
Los inicios de Java a ms de 30 aos de su creacin
El problema de conversin de JOBOL
 
Comentarios 0  
Enviá tu comentario
Para dejar tu comentario debes ser miembro de xitio.
 
Documento sin título
 
Documento sin título
 
 
 
 
Documento sin título
 
Nos contaron que leen
Documento sin título
 
Documento sin título
ULTIMOS PUBLICADOS Educacin
Cmo eliminar filas en blanco en Microsoft Excel
Xnechijli01
Cmo eliminar filas en blanco en Excel
 
Educacin 11/26/2022 6:48:59 PM
 
Convertir datos a grfico de lneas en Excel
Xnechijli01
Datos a grfico de lneas en Excel, como hacerlo.
 
Educacin 11/22/2022 9:06:21 AM
 
Cmo elegir una academia de idiomas en Las Palmas
contenidos7
Ingls, una de las herramientas que abre puertas al mundo laboral
 
Educacin 3/24/2022 6:07:48 AM
 
La especializacin formativa en el sector de la construccin
contenidos7
Formarse es fundamental para encontrar trabajo
 
Educacin 2/17/2022 5:20:24 AM
 
Aprender ingls en Las Palmas: un universo de posibilidades
contenidos7
Ingls, un idioma con presente y futuro
 
Educacin 11/26/2021 5:44:16 AM
 
Por qu es necesario un curso de alrgenos?
contenidos7
Sector alimentacin: un curso de alrgenos
 
Educacin 10/27/2021 6:33:37 AM
 
Buscas una academia de ingls en Las Palmas?
contenidos7
Aprender y perfeccionar el ingls para ampliar conocimientos y enriquecer el curriculum
 
Educacin 8/13/2021 4:42:58 AM
 
Las posibilidades de aprender ingls en Las Palmas
contenidos7
Aprender ingls ha pasado a ser una necesidad
 
Educacin 4/27/2021 5:42:11 AM
 
Localizando albailes, fontaneros y electricistas expertos
contenidos7
Formarse para especializarse en electricidad, construccin, fontanera
 
Educacin 4/23/2021 6:32:30 AM
 
Las ventajas de hacer un curso online en la actualidad
contenidos7
Cursos para especializarte en una profesin y poder empezar a trabajar
 
Educacin 12/21/2020 7:08:26 AM
 
Documento sin título
 
Documento sin título
 
Documento sin título
 
 
Documento sin título
 
 
 
Documento sin título
Copyright 2011 y actual de xitio | Todos los derechos reservados
 
Publicar es gratis, sólo tienes que registrarte y escribir.