2019-03-27嗯,子类会把父类的安全实现改的不安全
父类扩展新方法时,会给子类添乱,比如子类费劲心机防绕行,父类却悄悄加了个“后门”。。。 3
2019-03-27有个问题,案例中hashtable增加了一个entryset后,攻击者如何直接访问对象的entryset呢?
以web程序为例的话,我想不出用户如何传入可以执行的代码,能过直接让权限检查的调用对象直接执行entryset,也看不出对方如何能够重写我服务端的代码或者继承并且被jvm加载
老师能给个实际的例子吗作者回复: 访问不了对象当然不行。你先找找对象可以访问的场景。 换种场景你可能就熟悉了,比如说浏览器,访问一个页面的用户名密码,怎么不被正在访问的另一个页面窃取?
2
2019-08-29代理模式就完全丧失了继承带来的好处作者回复: 不使用继承,当然就没有了继承的好处,也没有了继承的坏处。 不同场景的不同选择,离开场景,我们就没有办法识别好与坏。
1
2019-03-27如果是web程序的话,攻击者是怎么查看我们内部程序?
如果是API接口的话,这些方法我们不是隐藏起来,不公开,它怎么绕过漏洞攻击?作者回复: 没太明白这两个问题。
无法访问,当然就没问题。 公开接口的问题是,公开了,就可以被使用,使用场景什么样的,我们不知道。 有没有场景,漏洞无法被攻击者利用,当然有的。一个场景没问题,不代表另一个场景就没问题。多用户、多应用、多类库的场景,这些用户之间、应用之间、类库之间,彼此可以不信任,可以参考现代编程语言和操作系统的domain的概念,或者虚拟机、云计算、远程调用等的技术架构。 1