Struts2が危険である理由
はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月(およそ3年前)に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成
struts2環境構築で不具合が出てしまっています - OKWAVE
以下のサイトを参考に環境構築を行い、 サンプルプログラムを実行しようとしています。、 http://www.atmarkit.co.jp/fjava/special/struts2/struts2_3.html (サンプルファイルは3pで落とすことができます。) 実行しようとすると下記エラーが出てしまい、解決ができない状況です。 ------------------------------------------------------------------------------- WARNING: [SetContextPropertiesRule]{Context} Setting property 'source' to 'org.eclipse.jst.jee.server:Test20130103' did not find a matching property. 1 03
Struts 2入門(5)~Viewレイヤーの仕組み~
はじめに 「Apache Struts」(以下、Struts)とは、サーバサイドJava開発のデファクトスタンダードとしてあまりにも有名な、オープンソースのWebアプリケーション・フレームワークです。本連載では、そのStrutsの次世代バージョンであるStruts 2を、実際に動作するアプリケーションと共に解説していきます。 第5回目の本稿は、MVCモデルで言うところの「V」iewレイヤーについて説明することにします。Viewレイヤーとは、アプリケーションの処理結果を表示するレイヤーにあたります。 対象読者 サーバサイドJava(JSP&サーブレット)について基本的なことは理解している方を対象とします。 Result処理 Struts 2のViewは、URIリクエストから実行されたActionクラスの処理結果や状態を出力するレイヤーです。デフォルトでは、JSPファイルをテンプレートとして、
2014年度版 Eclipse + Struts2 による Java Web アプリ開発入門 | CYOKODOG
オラクル管理下になって以降めっきり話題が減った感のある Java ですが、最近、隣の席の新人 SE さんが研修で Struts2 ベースの Web アプリを構築をしてるようで、時々質問を受けたりします。Java と言えば Struts に次ぐ定番フレームワークが長らく待望されてましたが、結局どうなったのでしょう? Struts の冠のある Struts2 がネーミング的には有利な気もするので便乗して勉強してみることにしました。 開発環境の準備 32ビット版 Windows 環境に開発環境を構築します。次のものを準備します。 Eclipse Kepler(4.3) Pleiades(Eclipse の日本語化プラグイン) JDK(Java SE 7u51) Tomcat(7.0.50) Struts2(2.3.16) Eclipse 4.3(Kepler)の導入 http://www.ecl
Struts2でcodebehindからConventionに変更 | きぬろぐ
Struts 2.1.8でcodebehindを利用してコードを書いていたのだが、Action評価後にリダイレクトさせるやり方がわからなかった。 どのページを見ても出来るようなことは書いてますが、どうやってもうまくいかない・・。 理由は結局わからなかったのですが、調査していて気がついたのは「Struts 2.1系からcodebehindプラグインはdeprecate」ですという事実。 これはまずいと思って、Conventionプラグインを利用する用に変更しました。変更方法はこのページによくまとまっています。 一番注意が必要な点は「Action名からリクエストに変換するルールが異なる」と言うこと。結局JSP側も修正しましたよ。ふぅ。 Previously in Codebehind: Given an action named AnExampleAction, a request to /a
Sign in - Google Accounts
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
Struts 2 - とりあえず雑記帳(跡地)
とりあえず、Struts 2.3.8現在の内容です。 #contents() ---- *環境構築 ダウンロードはここから [[Apache Struts Releases>>http://struts.apache.org/downloads.html]] "best available"と付記しているリンク先のファイルをダウンロードします。 パッケージングの種類によって、いくつかのファイルがあります。 "Full Distribution"だと、とんでもない数のファイルが格納されているので、解凍が面倒くさいです。 手っ取り早くjarファイルだけ欲しい場合は、"Essential Dependencies Only"(ファイル名がstruts-x.x.x-lib.zip)をダウンロードしましょう。 ---- *まずは最小構成を目指す 参考 [[Convention Plugin>>htt
例えば、Strutsを避ける
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
soracane - 80.参考: struts.xmlのconstantの設定値一覧
Software and Application Security Blog | Black Duck