Struts1の脆弱性(CVE2014-0094)の回避策いろいろ - てきとうなメモ

テクノロジーカテゴリーの変更を依頼記事元:

boscono.hatenablog.com

9 usersがブックマークコメント

コメント

3

記事へのコメント3件

注目コメント
新着コメント

boxlime struts1 脆弱性まとめ？

java

2014/05/20 リンク

aufheben Class が final かつ setter がないので、class じゃなくて classLoader を防げば十分じゃない？と思ったりもするが、Class から getXxx() で取り得るクラスも全部確認しないといけないか…。

Struts

2014/05/09 リンク

sh2 「他のライブラリなどがclass経由でプロパティを設定していた場合そこが動かなくなる可能性がある」これを踏んだ気がする

java

2014/05/09 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

{{ total_bookmarks_with_user_postfix }}{{ root_title }}

Struts1の脆弱性(CVE2014-0094)の回避策いろいろ - てきとうなメモ

回避策をいろいろ見かけるようになったのでちょっとまとめるサーブレットのFilterでフィルタ Protect y... 回避策をいろいろ見かけるようになったのでちょっとまとめるサーブレットのFilterでフィルタ Protect your Struts1 applications - HP Enterprise Business Community FilterでStrutsにリクエストが来る前にclassを含むクエリパラメタをエラーにしてしまう。リンク先のコードだとマルチパートリクエストに対応できていない。マルチパートリクエストに対応することは可能だが、Strutsのコードの外なのでStrutsのコードが変更されるとうまくいかなくなるかもしれない StrutsのRequestUtilsにパッチをあてる CVE2014-0094のStruts1のパッチ - てきとうなメモ RequestUtilsでbeanutilsを利用している直前にclass等を含むクエリパラメタを無視するようにしている。マルチパ

ブックマークしたユーザー

kzykz2015/04/22
boxlime2014/05/20
doboccho2014/05/10
bobbyjam992014/05/09
yojik2014/05/09
yyamano2014/05/09
aufheben2014/05/09
sh22014/05/09
rutebozu2014/05/08

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx