tokuhirom's blog
OWASP dependency-check を利用して脆弱性のある Java ライブラリに依存していないか確認する 依存しているライブラリに脆弱性がある場合、それを検出できると嬉しい。 OWASP dependency-check の gradle プラグインを入れると、簡単に検出が可能となる。 設定は以下のようであり、非常に容易である。 buildscript { repositories { mavenCentral() } dependencies { classpath('org.owasp:dependency-check-gradle:3.2.1') } } apply plugin: 'org.owasp.dependencycheck' check.dependsOn dependencyCheckAnalyze // https://jeremylong.github.
メモリリーク、デッドロック、リダイレクトループ、JVMクラッシュ...バグだらけのWebアプリケーションを使ってバグを理解する - Qiita
メモリリーク、デッドロック、リダイレクトループ、JVMクラッシュ...バグだらけのWebアプリケーションを使ってバグを理解するJavaバグ脆弱性トラブルシューティングjconsole 概要 Webアプリケーションの開発や保守をしていると、いろいろなバグに遭遇します。メモリリーク、デッドロック、リダイレクトループ、JVMクラッシュ等々、バグは様々です。こういったバグは、実際にコードを書いて、実行・再現させてツールで解析してみると理解が深まります。 ということで、いろいろなバグを実装したWebアプリケーションをつくってみました。現時点では、以下を簡単に再現できます。 メモリリーク (Javaヒープ領域) メモリリーク (Permanent領域) メモリリーク (Cヒープ領域) デッドロック (Java) デッドロック (SQL) 完了しないプロセスの待機 無限ループ リダイレクトループ JVM
主要Javaアプリケーションサーバに影響するJavaライブラリの脆弱性を正しく理解する | トレンドマイクロ セキュリティブログ
広く Javaアプリケーションサーバに影響する Javaライブラリの脆弱性の存在が報道、公表されています。本件は多くの問題を内包し、複雑です。本記事では、その影響範囲と問題点を正しく理解するために、情報の整理を行いたいと思います。 ■この脆弱性の概要 この脆弱性は、Java のデシリアル化処理を利用して任意のコードを実行可能、というものです。すでに 2015年1月に行われた AppSecCali 2015の「Marshalling Pickles」と題する発表の中で、セキュリティ研究者の Gabriel Lawrence氏と Christopher Frohoff氏により、PoC(概念実証コード、攻撃コード)が公開されています。この PoC の対象のクラスは「Apache Commons Collections」「Spring」「Groovy」です。 ■この脆弱性の影響範囲と深刻度 そして
JavaのString生成方法がボトルネックになっていた話 - WAF Tech Blog | クラウド型 WAFサービス Scutum
はじめに 先日、私たちが開発しているクラウド型WAFサービス、Scutum(スキュータム)において、予想していなかった箇所の修正によってサーバの負荷が大幅に減るということがありました。原因はこのエントリのタイトルにもあるように、Stringクラスのインスタンスを生成する際の方法にありました。 Stringクラスのコンストラクタとcharset Stringクラスにはいくつかのコンストラクタが用意されています。我々が使っていたのはString(byte[] bytes, String charsetName)です。2つめの引数で、"MS932"や"UTF-8"のような文字集合(以下charset)を明示的に指定するものです。 ScutumのようなWAF(Web Application Firewall)は通常のウェブアプリケーションとは異なり、起動している間にさまざまなcharsetを扱うこ
恐怖の JVM 大量メモリ消費!メモリリークの謎を追え!! - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、ミドルウェア開発チームの青木(@a_o_k_i_n_g)です。将来の夢は川口浩探検隊に入ることです。 先日、弊社のアプリケーションサーバーで大量にメモリを消費するという現象に遭遇しました。アクセス頻度の低いサーバーがメモリを大量消費するという謎深いものでした。 発生当初の状況はこんな感じです。 アプリケーションサーバーでは Jetty が稼働 現象が発生した JVM は 5GB 程度のメモリを消費しており、明らかに通常ではない量のメモリを消費している 複数台のサーバーで発生していたが、全てで発生したわけではない。 また、発生したサーバーはいずれもアクセス頻度が少ないサーバーだった。 ヒープ、パーマネント、スタック ひとまず、JVM でトラブルが発生した時は何はともあれヒープダンプとスレッドダンプを見るに限ります。各種情報の取得をインフラ部隊へ依頼し、得られたヒープを解析すると、
@IT:Javaのヒープ・メモリ管理の仕組み
GC前、Eden領域の消費サイズは「1834928」バイトであった GC後、Eden領域の消費サイズは「0」バイトであった(つまり全オブジェクトが移動もしくは破棄された) GC後、Eden領域のサイズは「3670016」バイトであった 「survivor」とは、From領域とTo領域両方を指します。ここでもし、上記ログのようにGC後のFrom/To領域の消費サイズが「0」となった場合は注意が必要です。これはすなわち、オブジェクトがFrom領域とTo領域の間を行き来せず、すぐにOLD領域に移動してしまっていることを表します。このような状況では、OLD領域は短命なオブジェクトですぐに埋まり、Full GCが頻発してしまいます。これはオーバーフローと呼ばれ、MaxTenuringThreshold値の低い状態で一連のGCが発生している状況を見つけることで検出できます。 NEW領域のサイズ調節 M
例えば、Strutsを避ける
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
Codespell – Java言語がそのまま呪文となる教育用3Dゲーム
カリフォルニア大学サン・ディエゴ校の計算機科学者達が開発した Codespell は、一人称視点の3Dゲームなのですが、その一番の特徴は、プレイすることでJavaプログラミングを身につけられるという点です。 Codesp […] カリフォルニア大学サン・ディエゴ校の計算機科学者達が開発した Codespell は、一人称視点の3Dゲームなのですが、その一番の特徴は、プレイすることでJavaプログラミングを身につけられるという点です。 Codespellでは、プレイヤーは小動物ノーム(gnome)たちが住む土地にやってきた魔法使いです。ノーム達は過去に魔法を使って生活していたのですが、今は魔法をうまく使えなくなっています。魔法の呪文はJava言語プログラムで、物体を浮遊させるとか火を起こすといった7つの手持ちの呪文を使って、ノーム達を助け、火を消したり川を渡ったりといったクエストを解き、バッ
TwitterでPIN番号認証を行う | TechBooster
TwitterでOAuth認証を行う1,2,3ではブラウザからのIntent起動を利用してOAuthを実現しました。 今回はtwiccaなどで使用されているPIN番号(暗証番号)を使用した認証方法を紹介します。 PIN番号認証はIntentを使った認証よりも実装が容易であるというメリットがあります。 詳細は以下から。 サンプルについて この記事でのサンプルはイカのような内容になっています。 ソースコード AuthTwitterActivity.java:PIN番号認証を行うActivity レイアウト auth_twitter_activity_start.xml:認証用ブラウザを開くための同意画面 auth_twitter_activity_type:PIN番号認証を行う画面 アプリケーションをTwitterに登録する Twitterと連携したアプリケーションを作成するにはTwitter
Javaで覚えるIT技術者の40の常識 - @IT
~新人プログラマ/SEは覚えておきたい“まとめ”~ @IT編集部 2011/3/24 このページは、開発者/プログラマが、以下のような項目に関して、常識的な基礎知識を学ぶための記事リンクのまとめです。 デスクトップなどの見た目に関する3つの常識 プログラミング・コーディングに関する6つの常識 ネットワーク/通信に関する9つの常識 セキュリティに関する3つの常識 データとファイルに関する5つの常識 設計・アーキテクチャに関する6つの常識 ソフトウェアの品質管理に関する3つの常識 業務アプリに関する5つの常識 Java SE(旧、J2SE)のコアAPIやJSP/サーブレット+StrutsのWebアプリケーション開発、JBossやその他のJavaオープンソースソフトウェアのサンプルコードや使い方を通じて、さまざまな“常識”を学習する以下の連載の記事に、基礎知識のカテゴリごとに分けてリンクしていま
Java製Twitterクライアント·P3:PeraPeraPrv MOONGIFT
P3:PeraPeraPrvはJava製、Windows/Mac OSX/Linux用のフリーウェア。Twitterクライアントは山ほど存在するが、本当に使い勝手の良いものは多くない。特に大事なのが個人の手になじむかどうかなので、人によって合う合わないがある。 メイン画面 自宅はMac OSX、オフィスではWindowsといった具合に環境が違うと特に問題だ。どちらかは使いやすいのが見つかっているのに、もう片方では見つかっていないとなると非常にストレスだ。そんな時はマルチプラットフォームで動作するのを選択するのも解決策だ。そこで紹介するのがP3:PeraPeraPrvだ。 P3:PeraPeraPrvはJava製、日本製のTwitterクライアントだ。アイコンとユーザ名、ツイート内容が一覧で並ぶようになっていて、ツイート全体を見るのはウィンドウ上部のテキストエリアになっている。一覧は様々にフ
ErlangとJavaのあいだでリモートメッセージング (前編) - 檜山正幸のキマイラ飼育記 (はてなBlog)
Erlangのプロセス間ではメッセージ通信が容易に行えますが、JInterfaceライブラリを使うと、ErlangプロセスとJavaプログラムとのあいだでもメッセージ通信ができます。予備知識である分散Erlangから説明し、JInterfaceを紹介します。ちょっと長いので、前後編に分けて、今回の前編ではErlang側の話をします。 内容: Erlangを分散モードで動かそう セキュリティソフトとマジッククッキー 分散ノード達を互いに接続する リモートメッセージングを試してみよう 今回のまとめと次回の予定 後編 参考資料: http://www.erlang.org/doc/reference_manual/distributed.html Erlang Reference Manual(http://www.erlang.org/download/erl_spec47.ps.gz)11章
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - CaledoniaProject/CVE-2018-1270: Spring messaging STOMP protocol RCE
IBM Developer
IBM Developer