Web開発者のメモ

Java, JavaScript, CSS, HTML など、Webアプリの記事を中心に書いています。

Struts2の脆弱性調査(参考文献など)

ちょっと前に、Struts 2 の脆弱性がニュースになったりしてました。その際、色んなニュース・記事・ブログなどを見させて頂きました。今回は、その中でも特に参考になったリンクなどをまとめてみました。

概要や事象など

Struts 2 のウェブアプリが動いてるサーバで、任意のコードが実行されてしまうという感じです。

原因や分析など

上のブログ記事は、かなり詳しく(コードレベルで)解析されててすごいです。

Struts 2 は、OGNL式という任意のコードを実行させる仕組みを使っているようです。それを第三者が悪用して、任意のコードを実行したようです。

OGNL式

英語のウィキペディアだと、セキュリティ上の問題についても書かれていました。

過去の脆弱性など

Struts 2 の利用者も多いのか、過去にも脆弱性が見つかっていたみたいです。

興味深かったブログ記事

2014年頃の記事みたいですが、その頃から Struts(OGNL式)の危険性を書かれています。先見の明があってすごいなと思いました。