Javaのデシリアライズに関する問題
はじめに 前回はApache Commons Collectionsライブラリの脆弱性について、問題の詳細と攻撃の仕組みを解説した。ポイントを整理しておく。 Commons Collectionsライブラリには、Gadget Chainが生成可能でシリアライズ可能なクラスが存在する。攻撃者は前記クラスおよびデシリアライズ時に前記クラスを利用しているクラスを悪用し、細工したオブジェクトをデシリアライズさせることで、任意のコードを実行することができる。同様の問題がすでにSpringやGroovyでも見つかっており、他にも何らかのライブラリなどで上記条件を満たすクラスが存在する場合は、新しい攻撃手法が公開される可能性も考えられる。 本問題は、本質的にはライブラリの利用者側がデシリアライズ処理をセキュアに実装していないことに起因するため、ライブラリの修正プログラムを適用するだけでは、根本的な対処と
SubEthaMailのwiserで仮想SMTPを立ててjavaのメール送信をユニットテストする! - 文系プログラマによるTIPSブログ
メール送信はまだまだ業務で重要ですね。javaでメール送信をする処理をユニットテストしたいけどメールが大量に飛んでしまうのは困るし、誤って本番環境のメールアドレスにメールが飛んだら大変です。そんな時はwiserを使いましょう! SubEthaMail build.grade メール送信ユニットテスト 雑感 SubEthaMail GitHub - voodoodyne/subethasmtp: SubEtha SMTP is a Java library for receiving SMTP mail wiserができる事は以下の通りです。 jarのみで仮想SMTPを立てられる組み込みメールサーバ機能を持つ。 アプリケーションからwiserに投げられたメールは破棄される。 wiserは送信されたメールの内容を記憶しており、メールの宛先等が取得できる。 組み込みの仮想SMTPなので例えば以下
java:Apache commons daemonを使ってJavaのサービスを起動する
JavaのサービスをApache commons daemonを使って起動する。 ようはOSの起動時にJavaのサービスを起動、そしてOSの停止時にJavaのサービスを停止したいということ。 ただし、OSはLinuxです。Windowsに関してはまだ調べていません・・・・ 昔は、sudo で対応していましたが、sudoで起動スクリプトを立ち上げるとsudoがなんかエラーを出力して、 設定を変えればいいらしいが、それも面倒なので何とかアプリの方で吸収できる方法をとるために、 Apache commons daemonにトライした。 (ちなみに、sudo のどんなエラーかは忘れてしまいました・・・) 必要なライブラリ Apache commons daemon download から、Javaのライブラリと Browse native binaries download area
コレクションフレームワークを拡張するCollections
前回「DBのコネクションプーリングを簡単に実現」に引き続き、Commonsサブプロジェクトの中から利用価値の高いコンポーネントを紹介しましょう。今回と次回は、Commonsの中でもユーティリティ色の強いコンポーネントを扱います。今回扱うCollectionsは、Javaのコレクションフレームワークを拡張するクラス群です。 Javaコレクションフレームワークを拡張する「Collections」 上述したように、CollectionsはJavaのコレクションフレームワーク(コレクションフレームワークについてはhttp://java.sun.com/j2se/1.4/ja/docs/ja/guide/collections/index.htmlを参照してください)を拡張するクラス群です。この原稿の執筆時点での最新バージョンは2.1です。 Collectionsには50以上のクラスが含まれているた
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Javaでのファイルコピー史 - Qiita
