问Java 7安全问题信息

EN

我的经验是，与老版本相比，使用最新版本通常更少的安全风险。原因是安全研究人员通常很快就会发现最新的发布版本中的问题。通常，这些问题很快就会得到解决。虽然devs很少回到旧版本，除非这个问题真的很普遍，而且他们可以编写一个不会破坏很多应用程序的解决方案。

现实是，我们仅仅是凡人不了解悬而未决的安全问题，有两个原因。

第一，公司不想发布尚未解决的问题。第二，黑帽黑客对他们所知道的问题毫无兴趣。

坦白地说，即使是Oracle也不知道Java 6上所有悬而未决的安全问题。他们只知道那些好人告诉他们的事情，他们永远不会公开给我们，除非他们已经发布了补丁。即使如此，补丁描述往往会混淆他们正在修复的东西。

如果我是一名安全审核员，我会尝试将自己插入那些论坛和网站，这些论坛和网站讨论黑客攻击java以获取乐趣和利润，并简单地观察所遇到的情况。

当安全研究人员负责时(而且生产公司不会在各自的岗位上坐得太久)，那么PoCs通常只在软件的固定版本发布后才能发布，并且会广泛传播。

如果您感兴趣的是搜索，那么较老的、已经发布的漏洞应该会为您提供大量的研究内容。

如果您的兴趣是积极利用这些漏洞，那么就不要指望我(或本网站上的其他任何人，我希望)的任何帮助。