xitio, publicación de artículos gratis, participación ciudadana, notas de prensa
  Usuario: Clave:    
 
 
Documento sin título
 
Documento sin título
 
Documento sin título
Home
Xnechijli01 8/18/2022 10:52:08 AM
Xnechijli01
Los gadgets y la seguridad de Java
Los gadgets pueden poner en peligro la seguridad de aplicaciones Java
votos 0 comentarios 0 enviar vínculo a un amigo
Tags Java Lenguajes de programacin
 
El cdigo de Java puede ser vulnerable si no se revisa con frecuencia.
 

El término gadget tiene algunos significados específicos en el mundo de la explotación de vulnerabilidades. Para el titulado "An In-depth Study of Java Deserialization Remote-Code Execution Exploits and Vulnerabilities", los autores usan la palabra para referirse a un método Java potencialmente explotable accesible para el atacante. Una biblioteca puede contener dispositivos que se pueden encadenar, por lo que pueden operar en una secuencia.

Aprovechar una vulnerabilidad de deserialización puede implicar una cadena de ataque complicada o puede ser tan simple como realizar una solicitud GET a través de una red. Nuestra conclusión principal es que la modificación de un detalle de aspecto inocente en una clase, como hacerlo público, ya puede introducir un dispositivo. Los investigadores analizaron 19 exploits para vulnerabilidades en 14 bibliotecas (algunas con varias versiones): beanshell, clojure, commons-beanutils, commons-collections, groovy, rome, js-rhino, spring-beans, spring-core, spring-aop, click-nodeps, javax.servlet, vaadin-server y vaadin-shared.

Al analizar los 19 exploits RCE, identificamos varias formas de introducir un dispositivo en una biblioteca: agregar clases, métodos e interfaces, o cambiar la firma de los métodos. Dado que los gadgets son necesarios para crear un exploit de deserialización, la modificación del código que inserta nuevos gadgets claramente no es lo ideal. De las bibliotecas y sus variantes probadas, 14 se han parcheado para eliminar dispositivos potenciales. Esto se puede hacer de varias maneras, como eliminar java.io.Serializable de la lista de interfaces en una clase vulnerable, eliminar la clase vulnerable en su totalidad o introducir una verificación de seguridad, entre otras técnicas.

Seis de las bibliotecas evaluadas (commons-beanutils1.9.4, rome1.0, spring-beans-3.0.0.RELEASE, click-nodeps-2.3.0-RC1, javax-servlet-api-4.0.1 y vaadin-shared -7.4.0.beta1) aparecen como no parcheados. Entonces, si sus aplicaciones incluyen alguno de ellos, es posible que desees considerar cómo abordarlo. Sin embargo, esperar una solución puede no ser la mejor opción.

Al estudiar parches de dichas bibliotecas, observaron los investigadores que el tiempo que se emplea para retirar los gadgets varía entre varios meses y casi 12 años, con una media de casi seis años. Por lo tanto, parece que las vulnerabilidades de deserialización aún no reciben la atención de los profesionales que realmente deberían merecer. Por supuesto, quienes han tomado un curso de Java online están más capacitados para realizar dichas modificaciones.

Te gustó esta nota, compártela con tus amigos
ico_copada.gif ico_delicious.png ico_enchilame.gif ico_facebook.png ico_fresqui.gif ico_google.gif ico_meneame.gif ico_myspace.gif ico_technorati.png ico_twitter.gif ico_yahoo.png
Visitá otras notas de Xnechijli01
El panorama de JavaScript: mantenerse a la vanguardia
El papel transformador de JavaScript en un mundo digitalizado
Por qu debes tomar un curso de JavaScript
Cmo eliminar filas en blanco en Microsoft Excel
Convertir datos a grfico de lneas en Excel
Problemas de seguridad en las bases de datos.
 
Comentarios 0  
Enviá tu comentario
Para dejar tu comentario debes ser miembro de xitio.
 
Documento sin título
 
Documento sin título
 
 
 
 
Documento sin título
 
Nos contaron que leen
Documento sin título
 
Documento sin título
ULTIMOS PUBLICADOS Tecnologa
Robot Industries abre su nueva sede en Asia para potenciar la produccin global de soluciones roboticas
pimaj76720
Robot Industries
 
10/16/2024 6:51:43 AM
 
Por qu debes tomar un curso de JavaScript
Xnechijli01
Razones para tomar un curso de Javascript
 
7/16/2024 7:19:21 AM
 
Servicio oficial Bang & Olufsen. Garanta de calidad y confianza
contenidos7
Servicio tcnico de audio y vdeo
 
6/17/2024 2:43:59 AM
 
Es necesario cambiar la batera del iPhone?
contenidos7
Un servicio profesional y autorizado
 
4/16/2024 4:01:33 AM
 
Qu es un salvaescaleras?
contenidos7
Salvaescaleras que se adaptan a tu vivienda
 
7/10/2023 4:51:24 AM
 
Salvaescaleras, movilidad sin barreras
contenidos7
Independencia y libertad de movimiento
 
6/7/2023 4:49:57 AM
 
Los gadgets y la seguridad de Java
Xnechijli01
El cdigo de Java puede ser vulnerable si no se revisa con frecuencia.
 
8/18/2022 10:52:08 AM
 
Problemas de seguridad en las bases de datos.
Xnechijli01
Los Problemas de seguridad en las bases de datos en Java pueden evitarse con la programacin adecuada.
 
8/17/2022 9:52:17 AM
 
Advertencia las debilidades de seguridad de Java
Xnechijli01
Advertencia sobre bibliotecas de Java y debilidades de seguridad de deserializacin
 
8/16/2022 9:35:05 AM
 
Los inicios de Java a ms de 30 aos de su creacin
Xnechijli01
Java es uno de los lenguajes de programacin ms populares mayormente usados. Su historia nos dice por qu.
 
8/22/2022 6:11:20 AM
 
Documento sin título
 
Documento sin título
 
Documento sin título
 
 
Documento sin título
 
 
 
Documento sin título
 
Publicar es gratis, sólo tienes que registrarte y escribir.