Apache Strutsソフトウェアの脆弱性を利用した攻撃の危険性 | NCSIRTアドバイザリ | 情報セキュリティのNRIセキュア
概要 2011/9/5に、Webシステムのフレームワークとして利用されているApache Struts 2.2.3.0以下に、「リモートから任意のコマンドを実行できる脆弱性 ※1」が発見され、修正情報がリリースされています。NRIセキュアでは、本脆弱性の認識と対応が適切に行われていない状況に鑑み、対策を促す目的で検証結果を公表します。 なお、2010/8/17に、今回の脆弱性に類似した、リモートから任意のコマンドを実行できる脆弱性「CVE-2010-1870 ※2,3」が公表されていますが、同様の事象を発生させるものの、今回公表のものとは別の問題ですので、注意してください。 ※1 http://struts.apache.org/2.x/docs/s2-007.html ※2 http://struts.apache.org/2.2.1/docs/s2-005.html ※3 http:/
Part2 Webアプリ開発のトラブル・シューティング(その1)
木村 真幸 DTS ネットワーク事業本部 プロジェクトマネージャ , 窪田 康大 豆蔵 BS事業部 開発技術チーム コンサルタント Webプログラミングのトラブル事象は星の数ほどありますが,実は初級者/入門者がはまってしまうトラブルにはいくつか決まったパターンがあります。そこでPart2では,よくあるトラブルを取り上げて,その問題点と解決方法を説明します。「日本語の文字化け」「クロスサイト・スクリプティング」「最新データが表示されない」「二重クリックによる二重処理」「例外ハンドリング漏れ」の五つを取り上げます。 トラブル1 日本語が文字化けする! ブラウザに表示した文字列が,“?”や意味不明の記号に変換されることがあります。これを一般的に「文字化け」と言います。Webプログラミングでは,文字化けが発生することがよくあります。ここでは「画面に表示した日本語」「ブラウザから送信された日本語」の
Struts2書籍
国内初「Struts2入門」発売中 現在「Struts2」の書籍は本屋さんでは1冊も出ていません。本書は国内で唯一、Struts2の仕組みから実際のサンプルまで体系的に書かれたStruts2の本です。日本語の情報がほとんどない中、英文情報をもとに半年かけて調査研究した集大成です。本書はこの私自身が執筆しこのwebサイトだけで直接販売しているオンライン書籍です。書籍部分はpdfファイルで、付属しているサンプルファイルはEclipseのプロジェクトファイルとしてすぐにインポートして実行できます。書籍部分はpdfなのでAdobe Readerで検索もできますし、必要なページだけをプリントして電車の中で読んだり、非常に便利です。内容は本屋さんで販売するものと引けをとらない品質です。貴重な情報をあなただけにお届けします。下のほうにあるフォームでお申し込みいただくとすぐにこちらからメールをお送りしダウ
HTMLエスケープが行われるStrutsタグ一覧 - masaのメモ置き場
HTMLエスケープが行われるStrutsタグ一覧を調べてみた。 bean:writeタグ html:optionsタグ html:optionsCollectionタグ html:fileタグ html:hiddenタグ html:passwordタグ html:textタグ html:textareaタグ nested:writeNestingタグ nested:writeタグ nested:optionsタグ nested:optionsCollectionタグ nested:fileタグ nested:hiddenタグ nested:passwordタグ nested:textタグ nested:textareaタグ たぶんこれで全部。 網羅的にソースを追った訳ではないので、嘘があるかも。
403 Forbidden
\閉鎖予定のサイトも売れるかも?/ アクセスがないサイトもコンテンツ価値で売れる場合も… ドメインの有効期限を更新してサイト売却にトライしてみましょう
rough justice: Struts Console プラグインのインストール
strutsフレームワークを利用してシステム開発する場合、どうしてもstruts-config.xml他設定ファイルを常に編集しながら作業をおこなうことになります。 eclipseにXML用のエディタプラグインをインストールしていても、設定量が増えてくるにつれて不便になってきます。っていうか、目がチカチカする。 こんなのが延々と続く。視力落とすよ。 というわけで、struts用のeclipseプラグインをインストールするわけですが、いろいろな種類のプラグインが有償・無償いろいろな形で提供されています。無償のものをいくつか試してみて、結局「Struts Console」に決めました。 一言で言うと、struts-config.xml・validation.xml・tiles-defs.xmlなんかの編集ツールです。グラフィカルなエディタというか…とりあえずインストールしてみましょう。 事前
Struts入門
StrutsはWebアプリケーションのためのフレームワークです。ソフトウェアでのフレームワークとは、ソフトウェア構築のある設計方針を実現するための部品の集まりです。 Strutsでは特に入力フォームの構築を効率化するフレームワークです。すごく乱暴な言い方をすれば、入力エラーの処理をするための便利なしくみ、です。 http://jakarta.apache.org/struts/index.html StrutsはMVCモデル2というアーキテクチャを実現するためのフレームワークといわれています。 Mはモデルで、データ構造やビジネスロジックを実装します。 Vはビューで、画面表示の部分です。 Cはコントローラーで、入力を受け取って、モデル(M)の処理を呼び出してビュー(V)にその結果を伝えます。 JSPをビュー(V)、サーブレットをコントローラー(C)、そしてサーブレッ
適切なエスケープ処理でクロスサイトスクリプティングに備える ― @IT
Webアプリケーションのセキュリティホールが注目を浴びたことから、セキュリティを意識した開発の必要性が高まってきている。今後の流れとして、セキュリティ上満たすべき項目が要件定義の段階から組み込まれるケースが増えていくことが予想されるが、実際の開発現場においてはセキュリティホールをふさぐための実装方法が分からないという声も多いのではないだろうか。 そういった開発者の負担を少しでも軽くすることができるように、本連載ではJavaにおけるWebアプリケーション開発時に最もよく利用されているStrutsフレームワークの実装に踏み込んで、セキュリティ上注意すべきポイントを解説していきたい。なお、本連載ではStruts 1.2.8を対象として解説を行っていくが、すでにStrutsを利用したWebアプリケーション開発を行っている開発者をターゲットとしているため、Strutsの使用方法、各機能の詳細な説明な
@IT:連載 Strutsを使うWebアプリケーション構築術(1)
アプリケーション・フレームワーク「Struts」 昨今、とみに「フレームワーク・プログラミング」という言葉が取りざたされることが多くなってきました。そして、本稿のテーマでもあるStrutsもまた、「サーバサイドJava」――サーブレットベースで動作する「アプリケーション・フレームワーク」の一種です。 Strutsプログラミングの具体的な手続きを紹介していくに先立って、まずはこのアプリケーション・フレームワークとしてのStrutsについて、簡単に解説しておくことにしましょう。 ■アプリケーションの枠組み フレームワーク、それはアプリケーションを構築するうえでの「枠組み」であり、「ルール」であり、(語弊を恐れずにいえば)「制限」です。 昨今、アプリケーション構築におけるチーム開発の重要性がますますクローズアップされています。アプリケーションがますます大規模化し、また、基幹システムの一角をも担う
Djangoへの片思い日記 - ■Struts脳の恐怖とRails
Strutsは良いフレームワークであった。 登場時のStrutsは MVCを体現しWebフレームワークとしてプログラマ達に夢を見せた。 今見てしまえば冗長で可読性の低い設定ファイルに 糞のようなtaglibとゲロのようなjspであるが それでも当時はセンセーショナルだった。 しかし、その後、Strutsには悲劇が起きる。 あまりにもセンセーショナルなデビューのおかげで それを金に換えようとしている奴らに目を付けられてしまった。 人月計算とExcelとスーツで出来ている奴らだ。 奴らは Strutsをいかに簡単であるか宣伝し 役に立たない講習会で金を取り sessionが何なのかすら知らない人間を大量に生み出した。 そうやって生み出されたStruts脳人間は 「動くコードが正義」の負の面を体現し スパゲティを更に絡ませたActionFormを書き 解読不能なActionを書いた。 勉強など一
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
