パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apache Struts 2にリモートからの任意コード実行を許す脆弱性」記事へのコメント

  • なぜそのコードでは駄目なのか、どうして脆弱性になるのか、どうすれば脆弱性を取り除けるのかを
    もっといろんな人が詳しく解説してくれればさらに安全性の高いコードが書けるようになり脆弱性の発見も増えると思うのですが
    その辺の初心者向けの情報が少ない気がします

    • Re: (スコア:2, 興味深い)

      by Anonymous Coward

      Struts知らないのでアレですが、Parserがらみで推測するに適切に文字列をエスケープできてなかったということが今回の争点のはず。
      たとえばこのスラドのコメント欄にはHTML形式である程度文章を装飾できる機能がありますが、
      なんでもかんでもタグを受け入れていたら、サイトの構造が破壊されてしまいます。
      なので実行できる=タグとして認識する文字列(のフォーマット)を限定するわけですが、それと同様の対策行為が、Strutsの場合は甘かったというのが今回の問題ではないかと。

      もっとも、このStrutsというのは大元の設計自体がアレなのでParseでどうにかなるレベルではないということらしいです……。

人生unstable -- あるハッカー

処理中...