Struts2が危険である理由
はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月(およそ3年前)に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成
IaaS型クラウドにおけるハードウェアの陳腐化について
はじめに 私たちが提供しているSaaS型のWAFサービス、Scutum(スキュータム)では、今年の春に開発環境を物理サーバからEC2へ移行しました。より安い料金でサーバを使用するため、シンガポールリージョンでSpot Instanceを使用しています。価格が非常に安く、また変動幅も少ないことから、お買い得感のあるサーバをかなり安定して稼働させることができています。 今回はこのEC2に開発環境を移行する過程で気がついた、EC2(あるいは、他のIaaS型クラウドサービス)を使用する上で気をつけたい、クラウドのハードウェアについてまとめてみたいと思います。 開発環境の目的 EC2に構築した開発環境の主な目的はパフォーマンステストです。シグネチャのチューニングやエンジン部のコードの変更などによってシステムのスループットにどのような影響が出るのかを常に把握しておくため、安定した環境が必要となります。
PHP環境で発生するMongoDB Request Injection攻撃
はじめに SaaS型WAF「Scutum(スキュータム)」では、最近バックエンドのDBにMongoDBの導入を進めています。私も個人的にPHPのフレームワークであるCakePHP向けにMongoDBを扱うプラグインCakePHP-MongoDB Datasourceを開発し、公開しています。 https://github.com/ichikaway/cakephp-mongodb/ 今回は、PHPからMongoDBを扱う際の注意点として、RequestInjection攻撃に関して書きたいと思います。この問題は、phpマニュアルのMongoドライバーの章でも扱われています。 この記事では、はじめにPHPでMongoを操作する方法、PHPの基本を書き、最後にInjection攻撃の仕組みと対応方法を書きます。 PHPでMongoDBを扱うには PHPでMongoDBを操作する場合、10gen
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
