[B! Java][techfeed][Security] hosopyのブックマーク

徳丸浩さん、著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則〜PHPカンファレンス2017 ゲストスピーカーセッション | gihyo.jp

PHPカンファレンス2017 レポート徳丸浩さん、著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則〜PHPカンファレンス2017 ゲストスピーカーセッション 2017年10月8日、東京・大田区産業プラザPiOにて、PHPカンファレンス2017が開催されました。本稿では、ゲストスピーカーセッションであるEGセキュアソリューションズ株式会社代表取締役徳丸浩さんの講演「著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則」をレポートします。著名なPHPアプリケーションでも脆弱性を狙った攻撃が絶えません。徳丸さんは「脆弱性対処の王道はプレースホルダによるSQLインジェクション対策のように、とにかく個別の脆弱性から守るための局所対策が大切。とはいえ、脆弱性対処を束ねる総論も必要だ」と言います。今回の講演では、一般的なセキュアコーディングの原則、そしてPHPの著名アプリの脆弱性

hosopy 2017/11/02

リンク

Tomcatに見つかった3つの脆弱性について

はじめに Apache Tomcatに立て続けに見つかったCVE-2017-12615～12617の3つの脆弱性は基本的には同じ原因によるものでした。3つのうち2つは任意のJSPファイルをPUTリクエストでアップロードできてしまい、アップロード後にアクセスすることでJavaのコードが実行できてしまう、というパターンのRCE。残りの1つはJSPがそのまま静的ファイルとしてアクセス可能なためにソースコードが漏洩してしまう、というものです。今回JPCERT/CCも注意喚起するなど、広く知られることになりましたが、一方でなかなかパッチが提供されないという状況にもなっています。今回はこの脆弱性についての調査を報告します。 readonlyパラメータとは何か JSPがアップロードできてしまうのはreadonlyパラメータがfalseになっている場合です。このパラメータはデフォルトでtrueであり、f

hosopy 2017/10/03

リンク

Struts2の脆弱性、いまだに見つかる本当の理由

ソフトウエアの脆弱性が悪用された実例として、Webアプリケーションフレームワーク「Struts2」の脆弱性について見ていこう。2017年3月9日に公開された「S2-045」というStruts2の脆弱性が原因で、2017年3月以降、多くの情報漏洩事件が起こっている。クレジットカード番号の流出で金銭被害が出た事例もある。Strut2ではこれまでも多くの脆弱性が報告されている▼。S2-045を含め、多くはリモートコード実行の脆弱性だ。 Struts2にリモートコード実行の脆弱性が多いのは、内部で「OGNL▼」というライブラリを利用しているためだ。OGNLは、Javaに似たコードをコンパイルなしで実行する。Struts2ではデータの処理にOGNLを多用している。このため、Struts2に脆弱性があると、例えば攻撃者がHTTPリクエストに埋め込んだ悪意のあるコードがOGNLによって実行されてしまう。

hosopy 2017/09/14

リンク

Oracle Java の脆弱性対策について(CVE-2017-10110等)：IPA 独立行政法人情報処理推進機構

※追記すべき情報がある場合には、その都度このページを更新する予定です。 MyJVNバージョンチェッカによる最新バージョン利用の簡易チェックが行えます。こちらからご利用ください。動作環境にJREを使用しない「MyJVNバージョンチェッカ for .NET」も利用可能です。概要 Oracle 社が提供する JRE (Java Runtime Environment) は、Java プログラムを実行するためのソフトウェア実行環境です。 JRE には脆弱性が存在し、攻撃者に悪用されると、任意のコード（命令）が実行され、コンピュータを制御される可能性があります。同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、できるだけ早急に修正プログラムを適用して下さい。

hosopy 2017/07/19

リンク

オラクルが過去最大の定例パッチ、308件の脆弱性を修正

印刷するメールで送るテキスト HTML 電子書籍 PDF ダウンロードテキスト電子書籍 PDF クリップした記事をMyページから読むことができます Oracleは米国時間7月18日、四半期ごとに公開している定例パッチ「Critical Patch Update」（CPU）をリリースした。今回は過去最多だった前回をさらに上回る、308件の脆弱性が修正された。そのうち半数以上がリモートから悪用可能な脆弱性となっている。アップデートの対象には、「Oracle Database Server」「Oracle Fusion Middleware」「Oracle E-Business Suite」「PeopleSoft Enterprise」「Oracle Communications」「Oracle Financial Services」「Oracle Hospitality」「Oracl

hosopy 2017/07/19

リンク

はてなブックマーク

タグ

関連タグで絞り込む (0)

JavaとtechfeedとSecurityに関するhosopyのブックマーク (5)

お知らせ

今週のはてなブックマーク数ランキング（2025年8月第4週）

今週のはてなブックマーク数ランキング（2025年8月第3週）

はてなブックマークは20周年を迎えました

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス

タグ

関連タグで絞り込む (0)

JavaとtechfeedとSecurityに関するhosopyのブックマーク (5)

徳丸浩さん、著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則 〜PHPカンファレンス2017 ゲストスピーカーセッション | gihyo.jp

Tomcatに見つかった3つの脆弱性について

Struts2の脆弱性、いまだに見つかる本当の理由

Oracle Java の脆弱性対策について(CVE-2017-10110等)：IPA 独立行政法人 情報処理推進機構

オラクルが過去最大の定例パッチ、308件の脆弱性を修正

お知らせ

今週のはてなブックマーク数ランキング（2025年8月第4週）

今週のはてなブックマーク数ランキング（2025年8月第3週）

はてなブックマークは20周年を迎えました

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス

徳丸浩さん、著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則〜PHPカンファレンス2017 ゲストスピーカーセッション | gihyo.jp

Oracle Java の脆弱性対策について(CVE-2017-10110等)：IPA 独立行政法人情報処理推進機構