タグ

javaとservletに関するktakeda47のブックマーク (9)

  • StrutsのClassLoader脆弱性はSAStrutsに影響しません - ひがやすを技術ブログ

    Struts2に見つかった脆弱性と同様の脆弱性がStruts1系にも見つかりました。 Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響 HTTP(S)のリクエストでJavaのClassLoaderのメソッドが呼び出せてしまうという脆弱性です。 もう少し噛み砕いて言えば、リクエストのパラメータをJavaBeansにセットする時に、リフレクションを使い、パラメータ名にaaa.bbb.cccのようなネストした名前をサポートしているフレームワークは同様の問題が起こる可能性があります。 パラメータ名をclass.classLoader.xxxのような感じにして、ClassLoaderのメソッドを呼び出す訳です。 このような問題を起こすリフレクションフレームワークで最も有名なのは、Apache Commons BeanUtilsです。リクエストのパラメータ

    StrutsのClassLoader脆弱性はSAStrutsに影響しません - ひがやすを技術ブログ
    ktakeda47
    ktakeda47 2014/04/25
    SAStrutsは大丈夫だけど "リクエストのパラメータをBeanUtilsを使って、JavaBeansにセットしているフレームワークは、Strutsに限らず同じことが起きる"
  • Struts 2の脆弱性は最新版でも未修正、Struts 1にも同様の脆弱性が存在

    Struts 2の脆弱性は最新版でも未修正、Struts 1にも同様の脆弱性が存在:国内セキュリティ企業が相次いで注意喚起 脆弱性を修正したはずのWebアプリケーションフレームワーク「Apache Struts 2」の最新版、バージョン2.3.16.1に、いまだに脆弱性が残っている。さらに、既にサポートの終了している「Struts 1」にも同様の脆弱性が存在するという。 セキュリティ企業の三井物産セキュアディレクション(MBSD)は2014年4月22日、脆弱(ぜいじゃく)性を修正したはずのWebアプリケーションフレームワーク「Apache Struts 2」の最新版、バージョン2.3.16.1に、いまだに脆弱性が残っていることを確認したと明らかにした。 またラックは2014年4月24日、Webアプリケーションフレームワーク「Apache Struts 2」に存在するものと似た脆弱性が、既に

    Struts 2の脆弱性は最新版でも未修正、Struts 1にも同様の脆弱性が存在
  • 16の言語と57のフレームワークを比較したベンチマークが凄い

    いつの時代もより高速に動作するフレームワークや言語に対する関心は高いものですが、そんな疑問に答えるWeb Framework Benchmarksの最新版が公開されています。こちらのベンチマークはテスト用のコードや環境がオープンソースになっており16の言語(C C# Clojure D Erlang Go Groovy Haskell Java JavaScript Lua Perl PHP Python Ruby Scala)と57のフレームワークについて最適な実装が集められてテストされているという点で一般性があります。また実行環境もEC2と実マシンの2種類をそれぞれ実行している点も興味深いです。 気になるテスト結果のうち特に複雑度の高いデータベースから複数件のデータを取得してHTMLページとして出力した場合の結果は下記のとおりです。 堂々のトップに輝いているのはServletで最大で1

    16の言語と57のフレームワークを比較したベンチマークが凄い
  • Play jjug2012spring

    2. 自己紹介 • 池田尚史(いけだたかふみ) • 株式会社シャノン Product Manager • @ikeike443 • Play! Framework コミッター • 日 Playframework ユーザー会 • 『 Jenkins 』オライリージャパン 寄稿 • 勉強会、翻訳等々やってます

    Play jjug2012spring
    ktakeda47
    ktakeda47 2012/05/29
    "Play jjug2012spring"
  • 4. クッキーとセッション

    4.1. クッキー この節ではクッキーの取り扱いについて説明します。サーブレットではクッキーの情報を「javax.servlet.http.Cookie」クラスで管理しています。このクラスで管理されている情報は、クッキーをサーバから送る際に、HTTPヘッダーに追加される行と対応しています。追加される行は以下のような形式をしています。 Set-Cookie: NAME=VALUE; Max-Age=DATE; path=PATH; domain=DOMAIN_NAME; version=VERSION; comment=COMMENT; secure それぞれの意味は以下の通りです。 クッキーの名前と値に対応しています。「ID=56」で、「ID」というクッキー名に「56」という値が設定されます。 Cookieクラスのコンストラクタ「Cookie(String,String)」および「setV

  • Super Agile Struts - File Reference

    設定ファイルリファレンス SAStrutsで使われている設定ファイルの説明をします。 web.xml サーブレットコンテナ用の設定ファイルです。WEB-INFにおきます。 sa-struts-tutorialプロジェクトでは、webapp/WEB-INFにあります。 <?xml version="1.0"?> <web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" version="2.4"> <context-param> <param-na

    ktakeda47
    ktakeda47 2011/05/06
    tomcat 文字化け server.xml の設定
  • 第4回 DWRで今日から楽々Ajax

    株式会社DTS ネットワーク事業プロジェクトマネージャ。Javaを中心にフレームワーク開発や開発プロセス定義など幅広く活躍中。StrutsIDEコミッタ。著書「まるごとEclipse! Vol.1」(発行:インプレスコミュニケーションズ)。 今回は,Java技術者が手軽にAjax開発を行うためのフレームワークとして「DWR(Direct Web Remoting)」を取り上げます。Webアプリケーション開発では,いろいろなフレームワークを利用することが一般的ですが,その組み合わせは多岐にわたります。そうした組み合わせの特徴を損なうことなく,すぐに対応できるDWRの手軽さ,すごさを説明するとともに,Spring,Seasar,Struts,JSF,Hibernateといったフレームワークと連携する開発方法も解説します。 DWRとは? DWRは,AjaxアプリケーションをJavaで開発す

    第4回 DWRで今日から楽々Ajax
    ktakeda47
    ktakeda47 2011/04/22
    DWR comet long polling
  • Mixer2 – Beyond the JSP

    Introduction For example, EC site that has multi tenant shopping mall or blog service site shuld have differrent design for each tenant/user but the functionality should be same. Or, for one site and one owner, but there is some request to continue changing web design for reason of marketing. Traditional approach of template engine such as JSP or velocity force you to write complex template that h

    ktakeda47
    ktakeda47 2011/03/28
    [for:@twitter]"mixer2はJavaアプリケーション用テンプレートエンジンです。テンプレートはXHTMLで書きます。 100% pureな、XHTMLとCSSです。"
  • http://neta.ywcafe.net/001177.html

    ktakeda47
    ktakeda47 2011/03/28
    [for:@twitter]"mixer2はCMS向きなテンプレートエンジンとして使えるんじゃなかろうか"
  • 1