2014/04/27 このエントリーをはてなブックマークに追加 はてなブックマーク - 【Struts脆弱性】サルでも分かるStrutsのClassloader脆弱性(CVE-2014-0094)(CVE-2014-0112)

【Struts脆弱性】サルでも分かるStrutsのClassloader脆弱性(CVE-2014-0094)(CVE-2014-0112)

カテゴリ: ,


2019/07/05追記:
7payの件はStrutsの脆弱性全く関係ありません。




strutsののClassLoader脆弱性



  • セキュリティがよく分からない。簡単に説明してほしい人。
  • どう対処すれば良いか分からない人。
  • 事情がよくわからないプロマネとかチームリーダーの人。




  • Strutsに脆弱性が発見されました。


    IPA - Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)


    簡単に言うと(対処せずに使用すると)Struts2系とStruts1系はやばい。SAStrutsはOK。S2Strutsはアウト。
    その他にもリクエストパラメーターをリフレクションではめ込むようなFWは全て懸念される事象です。


    何が一番やばいかといったらStruts1系。

    2013/12/20 このエントリーをはてなブックマークに追加 はてなブックマーク - あなたはログに何を求める?【Webサイトにおけるログ出力観点】(what do you need ' logging ' for web system?)

    あなたはログに何を求める?【Webサイトにおけるログ出力観点】(what do you need ' logging ' for web system?)

    カテゴリ: , ,



    システムにおけるログのイメージ
    Webサイトにおけるログ_イメージ

    俗に言う、SI企業で働いている僕ですが、
    Webサイトでのログの出力方針について自分なりにまとめてみました。




     そもそもログってなに?


    システムにおいてログはとても重要です。
    それをもとにシステムがどのように動いているかを確認し、
    おかしな動きをしていないかを確認したり、誰が何をしているかを確認するわけです。




    でもプログラマーのあなたに突然、「実装画面でログを出してくださいねー」、とだけ言われたとしましょう。






    何を出力すればいいの??



    ってなりませんか?
    デバッグ用に仕掛ける分には自分の好きなように埋め込めば良いですが、



    製造工程が終わったとき・・・。どのログを残せばいいのやら?
    「例外をcatchしたここは、、、エラーログで良いのかなぁ。。。」
    「ここって業務的にプログラムの内部でしか見えない処理だけど、
    ログ出しておいた方が良いよね?」



    今回はそういう話なんですが、、ググってみたところ、僕の求めている内容の記事が少なく、
    他の方々がどういった観点を持っているのかを知りたいとともに、
    なにかしら皆さんの助けになればと思い、書いています。


    突っ込みどころがあれば、コメントなどでレスをいただければと思います。




    2013/10/27 このエントリーをはてなブックマークに追加 はてなブックマーク - ビジネスマンとエンジニアを別物と思うな

    ビジネスマンとエンジニアを別物と思うな

    カテゴリ:


    ちょっと強めのタイトルにしましたけども。



    僕はSI業界で働いているわけですが、
    やっぱり技術的にすごい人はたくさんいます。


    もちろんこの世界は技術力が物を言うし、
    設計や提案などに関しての顧客折衝の能力も重要です。


    GA