Источник: http://seclists.org/fulldisclosure/2013/Jan/241
Epic fail ? Есть пара мыслей как, надо проверять )
-
XSS.stack #1 – первый литературный журнал от юзеров форума
[Java] Сообщение об обходе high security level
- Автор темы neko
- Дата начала
Источник: http://seclists.org/fulldisclosure/2013/Jan/241
Epic fail ? Есть пара мыслей как, надо проверять )
скинь мне свои пару мыслей, я проверю. 
- Автор темы
- Добавить закладку
- #3
да уже. проверил jnlp с application-desc, installer-desc (ну и applet-desc до кучи)- не хочет (мысль в том, что application-desc, installer-desc хендлятся веб стартом, где возможно проверки не добавлялись, но у меня не получилось заставить работать, в смысле вообще). Возможно есть ещё какие-то средства доставки апплетов, про которые мне не известно, но пока меня это уже утомило немного.
neko
web-start не идет по-умолчанию с явой видимо (у меня нет его). Может по-этому не запустилось.
На ум приходит загрузка левого кода подписанным аплетом (ведь подпись не проверяется у всего, что за пределами jar'ки?). Но это надо у знатоков явы спрашивать =\
web-start не идет по-умолчанию с явой видимо (у меня нет его). Может по-этому не запустилось.
На ум приходит загрузка левого кода подписанным аплетом (ведь подпись не проверяется у всего, что за пределами jar'ки?). Но это надо у знатоков явы спрашивать =\
- Автор темы
- Добавить закладку
- #5
Aels
веб старт идет с 1.6 по умолчанию в основной поставке jre, не получилось изза того, что не апплеты нельзя встраивать на страницу как оказалось, а просто по ссылке загружать и стартовать, но и тогда попап появляется.
>> ведь подпись не проверяется у всего, что за пределами jar'ки
судя по сообщению, там концептуальный обход, а не уязвимости отдельных апплетов, тем более если не через класс лоадер делать, то это mixed code и будет попап, судя по спецификации.
да и вдогонку, click-to-play и тут работает c jnlp и встраиванием на страницу, хотя браузер только xml видит, который передается jvm (вдогонку твоей прошлой темы), там скорее всего если браузер (фаерфокс в частности) видит, что над стартовать джаву, вне зависимости от метода, включается этот механизм и тогда его хрен обойдешь.
веб старт идет с 1.6 по умолчанию в основной поставке jre, не получилось изза того, что не апплеты нельзя встраивать на страницу как оказалось, а просто по ссылке загружать и стартовать, но и тогда попап появляется.
>> ведь подпись не проверяется у всего, что за пределами jar'ки
судя по сообщению, там концептуальный обход, а не уязвимости отдельных апплетов, тем более если не через класс лоадер делать, то это mixed code и будет попап, судя по спецификации.
да и вдогонку, click-to-play и тут работает c jnlp и встраиванием на страницу, хотя браузер только xml видит, который передается jvm (вдогонку твоей прошлой темы), там скорее всего если браузер (фаерфокс в частности) видит, что над стартовать джаву, вне зависимости от метода, включается этот механизм и тогда его хрен обойдешь.