例えば、Strutsを避ける

はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類（任意のコード実行等）の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目

[golden_eggg]

このへんの問題をよしなに改善してくれてるのがStruts2だろ、と中身をよく調べもせず導入された案件で失禁してたのが5年前

[ockeghem]

今こそ正座して読み返したい3年前の記事

[t-tanaka]

ただ，Struts1とStruts2は，全くの別物。Struts2が「セキュリティ的には相当にダメ」なのは事実だが，あまりポピュラーではない。Struts1はポピュラーで，セキュリティ的にはまとも。

[rryu]

特定のオブジェクトとメソッドにしか触れないサンドボックスに対するOGNLとかじゃなくて普通のOGNLがリクエストパラメータに指定できるという仕様が間違っているとしか言いようがない。

[cakephper]

「脆弱性を直すセンスがない」

[tinsep19]

そんなstruts2を使用している製品を担当しているので心がいたい。

[hyperash]

Struts2はこの記事の通りの惨状で、Struts1は一年も前にサポート切れになっている、という状況をもっと周知していかないといかんなあ。あ、また新規のStruts案件が。

[yojik]

ただリクエストの自動バインディングはほとんどのFWでやってるのでStrutsじゃなくても注意は必要ですよ。

[Zephid]

Struts2への移行案件に先立って調査を始めたが、これは何もしないかFWを変えたほうがよさそうだな…

[MinazukiBakera]

「このように、過去5回に渡って付け焼き刃的対策を繰り返してきたことがわかります」……笑ってしまいましたが笑えない話。次から次へと突破方法が発見されるパターンは予想できそうな気がしますが、ほかにどうしよ

[masa8aurum]

“セキュリティ的な観点から見た場合、Strutsは控えめに言っても「どうしようもない」という印象です。”

[sasaki-shigeo]

Struts の脆弱性報告が何度も出て，他人事ながらうんざりしたときに読んだブログ。使わないに越したことはなさそうだ。

[tohnishi]

ひえぇ、少し前に案件ドリブンでStruts 2を習得したばかりなのに…

[ptsurume]

ひでえ

[soratokimitonoaidani]

Strutsの危険性を指摘する2014年の記事。

[Akaza]

金床先生

[katsyoshi]

例えばStrutsを避けるがまともな指摘だったとは

[wwolf]

ふぇぇ…

[lainof]

Struts1がEOLだからといってStruts2をStrutsと略すのはやめて欲しい

[watermaze]

不正なコードが内部に到達すると簡単に実行されるので入力を可能な限り検証するという防護策には無理があるわな。今回はContent-Typeヘッダに不正コードが仕込まれていた。

[xbs2r]

http://b.hatena.ne.jp/entry/www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.html 同じブックマークに見えるが何か違う？あ、httpsなのか。2014年上期は呪われたように強力な脆弱性が発見されてましたね！懐かしい！

[mkusunok]

放っておくとこーゆーのガンガン使われるし、文句いってもうちはこれでしか仕事しませんといわれるので、どうすりゃいいんだ？と頭を抱えてた

[kfujieda]

Struts 2が本質的に脆弱であることを指摘する記事

[stealthinu]

Struts2のセキュリティがダメな話。Struts1があんなに流行ったのにStruts2はなんで流行らなかったのだろうと思ってたがこんな感じだったのか。ちなみに2年前のエントリ。

[komz]

例えば、Strutsを避ける

[fake-jizo]

はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが T

[suginoy]

“過去5回に渡って付け焼き刃的対策を繰り返してきたことがわかります”

[yukung]

"セキュリティ的な観点から見た場合、Strutsは控えめに言っても「どうしようもない」という印象"

[Makots]

これ読むともうstruts採用する気は起きないねえ

[tzccinct]

「Strutsが採った対策というのは「NGワードを追加する」というアプローチです。「付け焼き刃的対策」の見本といった感じで、しかも後述しますが内容も間違っていました。 」

[naglfar]

Struts2 なんて一度も使ったコトない……。1なら流石にある。最近は Spring だなあ。

[tkpyoi]

Strutsはそんなにアカン子だったのか。。

[halfrack]

"フレームワークやアプリケーションサーバ内にコードをコンパイルして実行する機能や、動的にクラスファイルを解析したりする機能"

[tmatsuu]

ohひどい

[hfu]

「残念ながらStrutsはセキュリティ的には相当にダメな部類に属します。しかも悪いことにStrutsはポピュラーであり、実際に攻撃が多く行われる（つまり狙われやすい）存在となっています。」

[sonota88]

OGNL → クラスローダ → ログ出力先を変更 → JSP書き換え

[uta46]

ぎょぎょ、まさかそんな仕様なわけはないだろうと昨日話してたとこなのに。

[ya--mada]

なる…。struts2知らんからなぁ。勉強しても仕方ないが、せざるをえんな。