Mic*_*rdt 102
由于Java Strings基于char数组而Java自动检查数组边界,因此只有在不常见的情况下才能进行缓冲区溢出:
Bri*_*sen 24
诸如Java和C#之类的托管语言没有这些问题,但实际运行代码的特定虚拟机(JVM/CLR/etc)可能会出现这些问题.
coo*_*ird 13
出于所有意图和目的,没有.
Java具有数组边界检查,它将检查无法从分配的数组之外的区域访问数据.当一个人试图访问超出数组大小的区域时,ArrayOutOfBounds将抛出异常.
如果存在缓冲区溢出,则可能是来自Java虚拟机中的错误,据我所知,并不是Java语言规范和Java虚拟机规范中编写的预期行为.
是的,不是.不,因为它是一个托管内存模型,你无法真正创建错误的自己打开缓冲区溢出漏洞.但是,JVM和JDK中可能存在缓冲区溢出漏洞.看到这个Secunia顾问:
http://secunia.com/advisories/25295
严格意义上的覆盖堆栈或堆本身的缓冲区溢出需要:
缓冲区溢出在某种意义上说,你有使用缓冲区的代码,你的代码负责正确解析它但是没有这样做是可能的.例如,您可能会编写一个XML解析器,并且有人可能会向您提供格式错误(或合法但不常见)的请求,由于您的解析器的设计会覆盖先前验证的数据以及某些有效负载,这会导致您的应用程序行为异常.
后一种形式不太可能,但编写得很糟糕的sql字符串清理功能广泛分布,有一个问题,如这将是一个诱人的目标.
| 归档时间: |
|
| 查看次数: |
64422 次 |
| 最近记录: |