https://youtu.be/DP4IY109ShE
Java Stacktrace Fingerprinting
Eine Anekdote über eine Wette und welche Knüppel dem „das skripte ich doch mal kurz” im Wege liegen.
Was verrät der Stacktrace eines Java-Programms über die verwendeten Bibliotheken – und deren mögliche Schwachstellen? Eine Anekdote über eine Wette und welche Knüppel dem „das skripte ich doch mal kurz” im Wege liegen.
Admins werden aus Sicherheitsgründen angemahnt, seine Server so zu konfigurieren, dass nach außen keine Fehlermeldungen sichtbar sind. Was aber verrät der Stacktrace eines Java-Programms?
In der Javawelt ist es Usus, sich am reichhaltigen Schatz an Bibliotheken und Frameworks zu bedienen. Das hat den Vorteil, dass insbesondere Security-(Anfänger)fehler nur 1x gemacht werden… dafür haben solche Fehler, wenn sie dann doch auftreten, eine große Streuwirkung. Schlimmer noch sehen Sysadmins oft nur die Anwendung an sich, nicht aber die darin verborgenen, möglicherweise problembehafteten Bibliotheken. Der Vortrag erzählt die Idee und den Hintergrund sowie die Geschichte der etwas holprigen Entwicklung – und natürlich den Ausgang, wie charakteristisch ein Stacktrace für bestimmte Bibliotheken oder gar Bibliotheksversionen ist.
Redner: Skyr
EventID: 5633
Event: Easterhegg 2014 [eh14] des Chaos Computer Clubs Stuttgart
Ort: Kulturhaus Arena; Ulmer Straße 241; 70327 Stuttgart-Wangen; Germany
Sprache: deutsch
Beginn: So. 20.04.2014 13:45:00 +02:00
Lizenz: CC-by-nc-sa
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.