Struts2が危険である理由
はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月(およそ3年前)に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成
Symantecが再びGoogleの信頼を失った件についてのメモ - Technically, technophobic.
(初めに言い訳しておくと、証明書界隈については詳しくないです。某誤訳量産サイトが適当な記事を書いていたので、なにか書かねばと思って書いているという程度のまとめ記事です。間違いなどあればご指摘ください) 何が起こるのか Ryan Sleeviさん(Googleの人)がBlink-devのメーリングリストに投稿したこれにまとまっています:https://groups.google.com/a/chromium.org/d/msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ 経緯についてはいったん飛ばして、どのようなアクションが提案されているのか見ます。 To restore confidence and security of our users, we propose the following steps: A reduction in the accepted
これってどーなの?映画『耳をすませば』に学ぶセキュリティ<第2回> | NO MORE 情報漏えい
こんにちは。フリーライターの山田井ユウキです。 私たちが普段楽しんでいる映画、漫画、ゲームなどの創作物。フィクションとはいえ、なかには「これってセキュリティ的にどーなの?」と思うような場面もあったりなかったり…。 そんなあれやこれやについて、セキュリティのプロフェッショナル・徳丸浩先生にまじめに聞いちゃおうというコーナーです。 第二回のテーマはジブリ映画『耳をすませば』 【あらすじ】 1995年公開の同名漫画を原作とするスタジオジブリアニメ。読書好きの中学3年生・月島雫(つきしましずく)は、図書室で借りる本の図書カードに毎回記載されている「天沢聖司」という名前が気になっていた。ある日、雫はアンティークショップ「地球屋」で老人・西司朗、そして彼の孫である天沢聖司本人と運命的な出会いを果たす――。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
