Существует ли коллекция старых проблем безопасности с описанием и применением кода для платформы Java?

Question

Мне интересно, есть ли образовательная коллекция примеров того, как безопасность на JVM была скомпрометирована в старых версиях.

Прочитав немного статей в блоге IKVM, у меня возникает ощущение, что я узнаю больше, понимая прошлые случаи проблем безопасности, а не читая простое «что можно и чего нельзя» (похоже, что большинство интересных статей были вытащены, какой позор).

Есть ли что-то подобное в продаже?

Возможно, у меня слишком сильные ожидания: меня не волнуют какие-то мелочи, связанные с сценарием, но я ищу качественный контент, углубляющийся в

• Как была обнаружена проблема безопасности?
• Как будет выглядеть тренировка кода?
• Как выглядит некорректный код?
• Как исправлена ​​ошибка?
• Как проверить отсутствие ошибки?
• По каким причинам возникла проблема безопасности? (Чистая лень, проблемы с производительностью, неправильные предположения, ...)
• Какие уроки, как разработчик приложений, дизайнер библиотек, инженер VM?

Есть ли что-то подобное в сети?

Answer 1

Я думаю, что очень мало исследований по использованию JVM. Что именно вы хотите сделать?

• Преодолеть стандартные ограничения программирования на Java: это легко сделать, поскольку вы можете получить доступ ко всему, когда запускаете стандартный байт-код.
• Обойти политику безопасности Java при выполнении кода Java (например, вырваться из песочницы браузера): это имеет очень мало общего с JVM; часто это комбинация эксплойтов на основе браузера и других эксплойтов, позволяющих запускать апплет и включать путь к классу загрузки стандартной JVM.
• Запустить атаку переполнения буфера на ОС из JVM.

Часто выход из изолированной программной среды браузера тривиален и не имеет ничего общего с самой JVM: http://jouko.iki.fi/adv/javaplugin.html

Лучшая информация будет доступна от JVM с открытым исходным кодом, как BlackDown. Найдите в SVN changelog слова «exploit», «bug», «sandbox» и посмотрите на SVN Diff's.