SEOSERVISE - Защита сайтов от хакеров.

 
   
 

Главная


 


Аплеты Для загрузки и запуска аплетов Java с помощью клиентского Web -броузера исполь­ зуются дескрипторы < applet >, внедренные в код HTML . Один из основных рисков, связанных с использованием аплетов, заключается в том, что, хотя они и скомпили­ рованы в байт-код, типичный класс Java можно загрузить отдельно и декомпилиро­ вать. Это позволит взломщику просмотреть исходный код Java , провести его анализ и найти уязвимые места. Эти вопросы будут обсуждаться в данной главе, а также на протяжении последующих глав книги. Аплеты Java можно разрабатывать в любом текстовом файле, как и при использо­вании многих других языков, рассмотренных выше в главе. Простой аилст можно соз­ дать в течение нескольких минут. Например, для создания аплета, выводящего на эк­ ран строку " Hello World '", достаточно скопировать приведенный ниже код в тексто­вый файл, а затем присвоить ему любое имя с расширением . Java. Необходимо отметить следующее: • оператор import эквивалентен директиве ( include языка C/C++ в том смысле, что обеспечивает включение всех требующихся компилятору классов; • класс HelloHorldApplet расширяет класс Java . applet . Applet , задающий базовые свойства аплета; • класс Graphics применяется для вывода графики на экран. Теперь исходный файл нужно скомпилировать в байт-код с помощью интерпрета­ тора Java ( http :// java . sun . co »). После компиляции формируется файл класса Java ( HelloWorldApplet . class ). С этого момента его можно запускать из HTML -кода Web - страниц с помощью дескриптора < applet >. Когда аплет Java загружается в память, для каждого метода класса создается от­ дельный поток. Затем байт-код выполняется процессором. Байт-код — это последо­ вательность инструкций, аналогичная ассемблерному или двоичному коду, в кото­ рой каждая инструкция состоит из однобайтового кода операции (действия) и нуле­ вого или большего количества операндов. Из-за использования байт-кода аплеты Java не пересылаются по Internet в виде обычного текста. К сожалению, подобная маски­ ровка на мешает взломщику декомпилировать байт-код и получить исходный код Java . Имея исходный код, взломщик может подробно ознакомиться с работой прило­ жения, в том числе получить любые пароли, используемые для соединения с сервера­ми и доступа к базам данных. Из многих существующих сегодня декомпиляторов Java наиболее точным является JAD ( Java Decompiler ), разработанный Павлом Кузнецовым ( Pavel Kouznetsov ). Ядро

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |