SpringとGroovyにも直列化オブジェクト脆弱性 - R42日記
昨日の記事の続きです。 昨日はcommons-collectionsについて、どのような仕組みで攻撃が成功しうるかを書きました。 しかしこの問題はcommons-collections限定ではなく、GroovyまたはSpringFrameworkのクラスをロードしている環境でも起こりえます。 攻撃が成立する条件 攻撃のキーとなるのは2点。 リフレクションでメソッド呼び出しを行う何らかのクラスがロード済みである そのクラスのインスタンスは直列化可能である この条件を満たすクラスは、commons-collectionsではInvokerTransformerが該当しましたが、 Groovy: MethodClosure 2.4.4以降は非直列化が禁止されたのでセーフ(readObjectで例外をスロー) Spring: SerializableTypeWrapper.MethodInvoke
日本Springユーザ会 - timetable
イベントは無事終了いたしました。ありがとうございました。 当日の講演資料は順次リンクを貼ってゆきます。
Distributed Event Processing Rule Engine with Storm, Spring and Groovy | Art of Software Engineering
第2回 Springの様々な設定記述 – AnnotationもJavaもあるんだよ | DevelopersIO
よく訓練されたアップル信者、都元です。前回は、Springのコードを見ながらDIについて学びました。DIを使うと、「オブジェクトの生成と初期化」という宣言的な記述に親和性の高い情報と、「オブジェクトの利用」という手続き的な記述に親和性の高い情報を分離できることが確認出来ました。 Springはbean(Springの管理下にあるインスタンス)の生成と初期化に関する情報(Configuration metadataと呼びます)をXMLで受け取ります。XMLの一例は前回示した通りですが、このConfiguration metadataは色々な記述方法があります。 p及びcネームスペースの使用によるSpringの設定 XMLの閉じタグが目障りだ、という人がいるようです。では、こんなのはいかがでしょうか。 <?xml version="1.0" encoding="UTF-8"?> <beans
Spring Framework 4.0は9月登場予定のJava 8対応。Spring Sourceが方針を発表
Spring Framework 4.0は9月登場予定のJava 8対応。Spring Sourceが方針を発表 主要なJavaフレームワークの1つであり、Pojo(Plan Old Java Object)やDI(Dependency Injection)といった技術が注目されるきっかけの1つでもあったSpring Frameworkの次バージョン「Spring Framework 4.0」は、今年9月にリリース予定のJava 8対応になることなどを、開発元のSpring Sourceが明らかにしました。 Spring Framework 4.0のおもな特徴は、以下のようになるとのことです(日本語訳したらかえって分かりにくくなってしまったので、原文のまま引用します)。 First-class support for Java SE 8 based Spring applications:
連載: IBM Watson Workspace #鬼わか アプリケーション開発: 第 7 回: IBM Watson Workspace で AI を利用したアプリ連携の実現 #鬼わか 解説(前編)
連載: IBM Watson Workspace #鬼わか アプリケーション開発: 第 7 回: IBM Watson Workspace で AI を利用したアプリ連携の実現 #鬼わか 解説(前編)
Life with Cygwin
沖ソフトウェア株式会社は、沖通信システム株式会社および株式会社沖インフォテックと平成22年10月1日をもって合併いたしました。新会社名は、株式会社OKIソフトウェアとなります。3社が行っております事業は新会社にて従来通り継続いたします。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
terminalstate.net
PivotalがReactorをGAリリース
United States
SpringSource Cloud Foundryが公開される
SpringSourceがG2Oneの買収により、GroovyおよびGrailsを手中におさめる
2GX: Standalone Spring BeanBuilder from Grails
organic thoughts