存在に気付かないふり？ Struts

調査を行う過程で、稼働中と思われる探調TOOLを発見した。このURLを見て分かる通り、「.action」という拡張子が用いられている。これは慣習的に「Apache Struts」を用いるアプリケーションで指定される拡張子である。さらに、ソースコードを確認すると「struts」という文字列がパス指定でいくつか記載されていた。 これは断定ではないのだが……。 Apache HTTP Serverは10年ほど外部から改ざんを行えるような脆弱性、および攻撃コードがリリースされていない 原因となった探調ツールでは「.action」拡張子が使用されているページがある そのソースコードにはstrutsの文字列がパス指定で記載されている という理由から、探調TOOLでは脆弱性の影響を受けるバージョンのApache Strutsが利用されており、その脆弱性を突かれて、今回の事件に至ったのではないだろうかと考

[ya--mada]

アプライアンスの場合、そもそも存在を忘れていたりするから。専任者がいないと漏れちゃうよ。

[testedquality]

あーチョコレイト・ディスコだ（ここが主題ではない）　自分たちの情報棚卸と重要度ランク付けを全員で行うことが情報を守る第一歩だと思います。

[Itisango]

“セキュリティの診断には大きく分けて「ネットワーク（プラットフォーム）診断」と「Webアプリケーション診断」がある。”“問題のWebアプリケーションフレームワークであるApache Strutsはどちらの検査の範囲”

[MinazukiBakera]

「Apache Strutsはさまざまなサイトで利用されている。中には、そもそもApache Strutsがシステム内に存在することを知らなかったり、そのバージョンを把握できていない場合もあるだろう」

[localdisk]

やめてください＞＜まだ現役で使ってる人もいるんですよ！まぁセキュリティ云々以前に今はもっと楽できるフレームワークがあるので使わないほうがいいです。

[Pasirin]

おお、公開されてる、読むか