अधिकांश प्रतिक्रियाओं को पढ़ने के बाद मुझे लगता है कि आपके प्रश्न का उत्तर अप्रत्यक्ष तरीके से दिया गया है। मैं बस इसे सीधे इंगित करना चाहता था। जावा सी/सी ++ में दिखाई देने वाली समस्याओं से ग्रस्त नहीं है क्योंकि यह डेवलपर को इन प्रकार के मेमोरी हमलों (बफर ओवरफ्लो, हीप ओवरफ्लो इत्यादि) से बचाता है। वो चीजें नहीं हो सकती हैं।चूंकि भाषा सुरक्षा भेद्यता में यह मौलिक सुरक्षा ढेर बढ़ गई है।
अब वे उच्च स्तर पर हो रहे हैं। एसक्यूएल इंजेक्शन, एक्सएसएस, डॉस, इत्यादि। आप जावा को दूरस्थ रूप से दुर्भावनापूर्ण कोड लोड करने के लिए एक तरीका समझ सकते हैं, लेकिन ऐसा करने के लिए आपको सेवाओं की परत पर दूरस्थ रूप से कोड को धक्का देने के लिए सेवाओं की परत पर कुछ अन्य भेद्यता का फायदा उठाना होगा फिर क्लासलोडर के माध्यम से लोड करने के लिए जावा को ट्रिगर करें। दूरस्थ हमले सैद्धांतिक रूप से संभव हैं, लेकिन जावा के साथ इसका शोषण करने के लिए और अधिक जटिल है। और अक्सर यदि आप किसी अन्य भेद्यता का फायदा उठा सकते हैं तो क्यों न सिर्फ लूप से जावा को काट लें। विश्व लिखने योग्य निर्देशिका जहां जावा कोड लोड किया गया है, आपके खिलाफ इस्तेमाल किया जा सकता है। लेकिन इस बिंदु पर यह वास्तव में जावा है कि समस्या है या आपके sys व्यवस्थापक या शोषण योग्य किसी अन्य सेवा के विक्रेता?
पिछले कुछ वर्षों में जावा में मैंने देखा है कि दूरस्थ कोड क्षमता उत्पन्न करने वाली एकमात्र भेद्यता मूल कोड वीएम लोड से हुई है। Libzip भेद्यता, gif फ़ाइल पार्सिंग, आदि और यह केवल कुछ मुट्ठी भर समस्याएं हैं। शायद हर 2-3 साल में एक। और फिर vuln जावा कोड में JVM द्वारा लोड मूल कोड है।
एक भाषा के रूप में जावा बहुत सुरक्षित है। यहां तक कि इन मुद्दों पर भी चर्चा की गई है जिन्हें सैद्धांतिक रूप से हमला किया जा सकता है, उन्हें रोकने के लिए मंच में हुक हैं। इस पर हस्ताक्षर कोड कोड सबसे अधिक है। हालांकि, सुरक्षा प्रबंधक के साथ चलने वाले बहुत कम जावा प्रोग्राम स्थापित हैं। मुख्य रूप से प्रदर्शन, प्रयोज्यता के कारण, लेकिन मुख्य रूप से क्योंकि ये vulns बहुत अच्छी तरह से दायरे में सीमित हैं। जावा में रिमोट कोड लोडिंग महामारी स्तर तक नहीं बढ़ी है जो 90/2000 के दशक के अंत में सी/सी ++ के लिए ओवरफ्लो बफर करती है।
जावा प्लेटफार्म के रूप में बुलेट प्रूफ नहीं है, लेकिन पेड़ पर दूसरे फल की तुलना में इसका फायदा उठाना मुश्किल है। और हैकर्स अवसरवादी हैं और उस कम लटकते फल के लिए जाते हैं।
जिज्ञासा से बाहर, आपने सी/सी ++ भेद्यता के रूप में बफर ओवरफ़्लो को वर्गीकृत क्यों किया है? जावा में भी संभव है, अगर वीएम की समान भेद्यता है। –
आमतौर पर, भेद्यता आवेदन में होती है न कि भाषा में ही। – Jonas
@ विनीत: निष्पक्ष होने के लिए, आपके द्वारा लिखे गए * जावा * कोड में बफर ओवरफ़्लो बनाने का जोखिम मौजूद नहीं है; सी # और अन्य प्रबंधित भाषाओं के लिए भी वही। वीएम में एक बफर ओवरफ्लो का जोखिम बहुत कम है जो कुल 99.9% जोखिम को समाप्त करता है। –