valeryvasilyev Nov 11 2023 at 13:31

Инициализация WebSocket-клиента в автотестах на Java cо Spring Boot Starter WebSocket

Easy

5 min

4.5K

Java*IT systems testing*Web services testing*Mobile applications testing*

From sandbox

Comments 3

sshikov Nov 11 2023 at 14:17

2. В Java WebSocket есть ряд уязвимостей, связанных с зависимостями (например, уязвимость Denial of Service).

Хм. А какое вам дело до DDoS, если вы на этом собираетесь тесты писать? Это не означает, что надо было выбрать Java WebSocket, просто это странная мотивация при выборе. Более того, эти уязвимости - они все в определенных версиях, причем довольно старых. Ну так, к примеру:

CVE-2022-45688 @ Maven-org.json:json-20131018 - как вам версия 2013 года (при наличии двух десятков более свежих?)

valeryvasilyev Nov 11 2023 at 17:13

Справедливое замечание

sshikov Nov 11 2023 at 18:01

Кстати, если копнуть глубже, это эта уязвимость сводится к тому, что если на вход методу, преобразующему XML в json, подсунуть XML с открывающими тэгами очень глубокой вложенности, то будет, сюрприз, stack overflow. Ну т.е. не знаю как где, а в Java это исключение вполне себе можно отловить, и продолжить работу. Даже нужно отловить - потому что приложение, которое не ловит исключения при парсинге XML, ему и так дорога в помойку. То есть это в принципе и на DDoS не очень-то тянет.