삶 가운데 남긴 기록 AACII.TISTORY.COM

Download of Code Without Integrity Check 무결성 체크를 하지 않은 코드 다운로드 원격으로부터 소스 코드 또는 실행파일을 무결성 검사 없이 다운받고 실행하게되면 host 서버의 변조, DNS spoofing또는 전송시 코드 변조를 통해 악의적인 코드를 실행할 수 있습니다. 방어 방법 자동 업데이트 처럼 다운로드 될 코드를 제공할 때는 코드에 대한 암호화된 시그니처를 사용하고 클라이언트가 시그니처를 검증하도록 합니다. 안전하지 않은 코드의 예 URL[] classURLs= new URL[]{new URL("file:subdir/")}; URLClassLoader loader = new URLClassLoader(classURLs); Class loadedClass = Clas..