Abuse Melding

Je hebt een klacht over de onderstaande posting:

11-11-2015, 17:00 door Erik van Straten

11 november 2015, 11:03 door Redactie: [...] Het probleem wordt veroorzaakt door een kwetsbaarheid in de Apache Commons Library. [...] Dat lijkt in eerste instantie het geval, maar is onjuist. Libraries kunnen nou eenmaal functies bevatten die trusted input verwachten, omdat ze anders niet kunnen functioneren en/of te traag zijn. De kwetsbaarheid hier is dat user-input wordt geïnterpreteerd voordat deze is gevalideerd; tijdens deserialisation kan er al code worden uitgevoerd. M.a.w. wat hier ontbreekt is valideren (UK:sanitisation /US:sanitization) van user input; http://www.ibm.com/developerworks/library/se-lookahead/ beschrijft hoe dit zou kunnen werken. Het fixen of uitschakelen van de Apache Commons library lost dit ene probleem misschien even op, maar met de schijnwerpers op dit onderwerp verwacht ik meer vergelijkbare lekken in allerlei libraries. En het gaat hierbij niet alleen om Java, maar om alle user-supplied-input zoals XML (zie bijv. Google: XML XXE) en JSON (zie bijv. ...

Beschrijf je klacht (Optioneel):

captcha