Struts2が危険である理由
はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月(およそ3年前)に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成
shin3tky blog: Struts
2009年11月25日水曜日 Struts 2 を開発に使う前に 10ヶ月ほど前から Struts 2 を使っていますが、GA (General Availability) 版にも多くの問題が含まれていることがあり、以下の点をクリアしていないとプロジェクトで使うことは難しいのではないかと考えています。 フレームワークの不具合に対する回避策の入手 使用するバージョンの不具合に対する回避策を手に入れていることが必要です。大抵は JIRA に報告されており回避策も手に入ります。 スタッフの中にエキスパートが居ること 少なくとも1名のエキスパートが居ること。どんなフレームワークを使う場合にも、同じ事が言えます。 スタッフの教育 Struts 1.x とは別物ですので教育が必要となります。 スタイルの確定 今ですと Spring 2.5 と組み合わせることを前提に、Struts 2 らしいスタイルと
Struts2 おぼえがき [それはBooks]
Struts2 は WebWorks2 をベースとした MVC フレームワークです。Struts1 と変わらずコマンドパターンのフレームワークになっています。 コマンドパターンの実装部分では、OPENSYMHONY の XWork が使われています。 Struts2の特徴 WebWorks の後継となる WebWorks2 がベースの MVC フレームワーク コマンドパターンが使われている(XWork が使われている) アノテーションと XML ファイルによる設定 ActionForm がない。代わりにアクションにフォームデータを格納する アクションは POJO で作成できる アクションがスレッドセーフ 設定ファイルに OGNL 式が書ける View に JSP、Freemaker、Velocity、XSLT が使える SpringFramework との連携が考慮されている Ajax を
【ハウツー】Struts1系経験者のための「Struts2.1入門」 (1) Struts2.1の構造 | エンタープライズ | マイコミジャーナル
情報が少ないStruts2.1 現在、当たり前のようにシステム開発で利用されているSpringFrameworkやHibernateなどのオープンソース・フレームワーク。それらオープンソース・フレームワークの先駆けとなったStrutsは、クレイグ・マクナラハンがビーチサイドで原案を書き上げ、バージョン1.0として公開されてから、今年で早くも10年が経とうとしています。そして約10年を経てもなお、Strutsは開発者からの衰えない人気を保っています。 しかし、国内でのStruts人気は、最初に発表されたStrutsの系譜を引き継ぐバージョン番号に1を冠するStruts1系に対するものであり、WebWork2と合体したバージョン番号に2を冠するStruts2系の人気は今ひとつないように思えます。最近では、Struts2系の最新バージョン2.1.6も発表され、Struts1系よりも随分と簡単に便
Struts 2入門(3)~バリデーションの仕組みを理解する(後編)~:CodeZine
はじめに 「Apache Struts」(以下、Struts)とは、サーバサイドJava開発のデファクトスタンダードとしてあまりにも有名なオープンソースのWebアプリケーション・フレームワークです。本連載は、実際に動作するアプリケーションをもとに、Strutsの次世代バージョンであるStruts 2を解説していきます。第3回目の本稿は、前回の「バリデーションの仕組みを理解する」の後編として、バリデーションロジックを自前で記述する方法と、メッセージのローカライズ方法を中心に解説していきます。前回の記事Struts 2入門(1)~基本形で理解する仕組みと構造~Struts 2入門(2)~バリデーションの仕組みを理解する(前編)~ 対象読者 サーバサイドJava(JSP&サーブレット)について基本的なことを理解している方を対象とします。バリデーション・ロジックの組み込み 前回解説したように、St
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
キングソフトの「Struts2脆弱性スキャン」に疑問が湧いたので質問してみましたよ。
Struts2を始めよう!