Java安全漏洞攻击及入侵防范

　　Java语言是目前网上最流行的编程语言之一。它不但是一种跨平台的通用编程语言，同时也是一种通用于各种计算机网络、特别是因特网的技术。它的特点是简单，便于网上传输，对硬件环境依赖程度低，目前在因特网上有大量以这种语言编写的应用程序。自从1995年5月Sun微系统公司开发出该语言以来，它已从一种编程语言演化为一个极具活力的“计算平台”了，其“编写一次，到处运行”的跨平台优势给整个网络世界带来了巨大变革，也为软件开发者提供了充分展示自己的舞台。

　　Java作为一种技术，到底是否成功，一直倍受争议。但至少有一点是肯定的，目前很多利用Java的漏洞成功入侵网站服务器或者攻击网页访问者的电脑的案例。

　　在Internet Explorer 5.5中对Java小程序的处理存在一个漏洞,所以允许运行WEB页面中加入的一些恶意代码来诱使访问者阅览,从而获得访问者的文件或所在的Intranet中的目录结构的访问权。比如，通过在WEB页面中引用标签加入一个Jar程序,恶意的Java程序就有可能读取本地系统的敏感文件并把它传送出去。

　　再如，贝尔实验室发现，在用Java程序编写的微软MSIE系统和Netscape的Communicator中，有一个漏洞可导致用户在登陆一些网页时，其个人数据有可能在未经允许下被窃取到。

　　Java 电脑语言的设计人员也深知安全问题是上 Internet 的最大隐忧，因此在设计这个要在互联网上运行的语言时，也已经在 Java 之中设置了层层安全保护措施，以免程序设计者在用 Java 去开发互联网上的应用程序时，无意或故意地破坏客户端电脑环境的安全，当然也包括那些利用Java的Applet来胡作非为的。

　　这些层层的安全保护措施可以分成四层：

　　第一层是确定Java电脑语言是简单安全的;

　　第二层是确认所要载入执行的程序是正确的;

　　第三层是确保Applet能合乎规范的执行;

　　第四层是确切保护客户端网页程序执行的安全。

　　虽然 Java 在设计时已经放入了重重严密的关卡，但是在实际应用当中是不可能把所有安全上的漏洞完全杜绝的。例如，上述的第二层到第四层安全防护措施主要是依靠在客户端浏览器下面执行Java Applet的虚拟计算机(JVM)和Java的一些基本的类别程式库来保证的，那么如果访问者采用的是被人动过手脚的浏览器，则这些Java的层层客户端安全措施就很可能无法发挥效用了。最近Internet上管理安全的几个单位就发出两则和Java有关的安全警告：其一是电脑黑客(hacker)可以透过 Applet 并利用一些在 TCP/IP 及目录服务(NDS)上的弱点，绕过Internet的防火墙;另一则是通过Java的组态改变，黑客可以把某些程序像伏兵一样地预藏在客户端的电脑中，以便日后开门行盗。虽然这两个漏洞已被新版本的 NetScape 和新版本的 Java 开发工具箱(JDK)堵塞起来了，但是这多少说明了Java还不能完全避免被那些无孔不入的黑客所利用。

　　除此之外，由于一些传统上电脑安全的漏洞，Java也是无法加以防备的：例如黑客可以用验证的方法去破解电脑使用者的密码;或是利用类似木马屠城的手法，骗取电脑使用者的信用卡号码之类的机密资料等等，这些常常令人防不胜防。因此，对于互联网用户而言，如果想在网络上购物，一定要本着“防人之心不可无”的心态，小心谨慎地处理自己的机密资料，以免被歹徒盗用。