Struts2が危険である理由
はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月(およそ3年前)に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成
shin3tky blog: Struts
2009年11月25日水曜日 Struts 2 を開発に使う前に 10ヶ月ほど前から Struts 2 を使っていますが、GA (General Availability) 版にも多くの問題が含まれていることがあり、以下の点をクリアしていないとプロジェクトで使うことは難しいのではないかと考えています。 フレームワークの不具合に対する回避策の入手 使用するバージョンの不具合に対する回避策を手に入れていることが必要です。大抵は JIRA に報告されており回避策も手に入ります。 スタッフの中にエキスパートが居ること 少なくとも1名のエキスパートが居ること。どんなフレームワークを使う場合にも、同じ事が言えます。 スタッフの教育 Struts 1.x とは別物ですので教育が必要となります。 スタイルの確定 今ですと Spring 2.5 と組み合わせることを前提に、Struts 2 らしいスタイルと
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Struts2を始めよう!
