सामान्य रूप से क्लाइंट-साइड जावा सुरक्षा में मेरे व्यक्तिगत शोध के आधार पर एक सूची है, और ग्रहण आईडीई का उपयोग करके यह देखने के लिए कि सुरक्षा प्रबंधक कौन सी विधियां करता है।
ClassLoaders वर्गों (= मनमाना जावा कोड निष्पादन) को परिभाषित:
java.lang.ClassLoader.defineClass
java.net.URLClassLoader
= कोड निष्पादन
जावा बीन्स आत्मनिरीक्षण एक अविश्वसनीय स्रोत से लोड हो रहा है वर्गों में ClassLoaders हटाने सकता (example vuln - cve-2010-1622)
java.beans.Instrospector.getBeanInfo
= कोड निष्पादन
फ़ाइल पहुँच
java.io.File (constructor)
java.io.File.delete
java.io.File.renameTo
java.io.File.listFiles
java.io.File.list
= हटाने/नाम बदलने फाइलें, निर्देशिका लिस्टिंग
फ़ाइल धारा/पाठक वर्गों
java.io.FileInputStream
java.io.FileOutputStream
java.io.FileReader
java.io.FileWriter
java.io.RandomAccessFile
= फ़ाइल पढ़ने/लिखने का उपयोग
जावा सिस्टम गुण
System.setProperty
System.getProperties
System.getProperty
= कुछ सिस्टम गुण में कुछ जानकारी है कि लगभग संवेदनशील है शामिल हो सकता है, और कुछ प्रणाली विशेषताओं को परिवर्तित, महत्वपूर्ण सामान के निष्पादन, मैं उदाहरण नहीं है हो सकता है, हालांकि
लोड हो रहा है देशी पुस्तकालयों
System.load
System.loadLibrary
= मनमानी कोड निष्पादन
निष्पादित ऑपरेटिंग सिस्टम निष्पादनयोग्य
Runtime.exec
ProcessBuilder (constructor)
जनरेट कर रहा है देशी प्रणाली के इनपुट ईवेंट
java.awt.Robot.keyPress/keyRelease
java.awt.Robot.mouseMove/mousePress/mouseRelease
(हो सकता है कि अब तक प्राप्त किए गए के बाद से एक सर्वर भी एक ग्राफिकल वातावरण नहीं हो सकता)
जावा प्रतिबिंब - मनमाने ढंग से पहुंच (यहां तक कि निजी) के खेतों और तरीकों
java.lang.Class.getDeclaredMethod
java.lang.Class.getDeclaredField
java.lang.reflection.Method.invoke
java.lang.reflection.Field.set
java.lang.reflection.Field.get
=, अंतिम कोड निष्पादन के लिए संवेदनशील जानकारी प्रकट = मनमाना कोड निष्पादन परिस्थितियों
जावा स्क्रिप्टिंग इंजन
javax.script.ScriptEngine.eval
पर निर्भर करता है से
* सभी * सिंक फ़ंक्शन?यह सूची अनंत है, क्योंकि कोई मनमाने ढंग से ऐसे कई कार्यों को परिभाषित कर सकता है। – meriton
@meriton क्या आपने PHP के लिए बनाई गई सूची देखी थी? – rook
मेरा मानना है कि वह जावा लाइब्रेरी कोड का जिक्र नहीं कर रहा है, बेसमेंट लाइब्रेरी – Woot4Moo