事例から考えられるStruts2の脆弱性を狙ったサイバー攻撃のシナリオ SiteLock（サイトロック）｜GMOクラウドのSaaS

はじめに 個人事業主としてフリーランスのエンジニアをしている吉田です。 毎日のように発生しているサイバー攻撃、その中でも特にWebサイトへの攻撃は後を絶ちません。特にここ最近で標的にされやすいのが「Apache Struts2」です。Struts2はJavaのフレームワークの１つで、０からWebアプリケーションを開発するよりもはるかに効率的に開発を行うことができるメリットがありますが、脆弱性がたびたび発見されサイバー攻撃の被害を受けやすいデメリットも併せ持ちます。 今回の記事では、Struts2を対象としたサイバー攻撃の事例を4つご紹介します。 ２．Struts2脆弱性のメカニズム Struts2で大きく被害を出していると言われるのが、OGNL(Object Graph Navigation Library)インジェクションです。OGNLは、JavaとHTTPとを結びつけるための役割と、J

[mohri]

GMOクラウドのサイトで、GMOペイメントゲートウェイへの攻撃が事例として取り上げられている