Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

strutsに関するockeghemのブックマーク (10)

  • Apache Strutsソフトウェアの脆弱性を利用した攻撃の危険性 | NCSIRTアドバイザリ | 情報セキュリティのNRIセキュア

    概要 2011/9/5に、Webシステムのフレームワークとして利用されているApache Struts 2.2.3.0以下に、「リモートから任意のコマンドを実行できる脆弱性 ※1」が発見され、修正情報がリリースされています。NRIセキュアでは、脆弱性の認識と対応が適切に行われていない状況に鑑み、対策を促す目的で検証結果を公表します。 なお、2010/8/17に、今回の脆弱性に類似した、リモートから任意のコマンドを実行できる脆弱性「CVE-2010-1870 ※2,3」が公表されていますが、同様の事象を発生させるものの、今回公表のものとは別の問題ですので、注意してください。 ※1 http://struts.apache.org/2.x/docs/s2-007.html ※2 http://struts.apache.org/2.2.1/docs/s2-005.html ※3 http:/

    ockeghem
    ockeghem 2011/12/20
    『入力値を数値型へ変換する処理にてエラーを発生させ、OGNLで表現された任意のコマンドを実行する手法です』<興味深い。ただちに対処を
  • Part2 Webアプリ開発のトラブル・シューティング(その1)

    木村 真幸 DTS ネットワーク事業プロジェクトマネージャ , 窪田 康大 豆蔵 BS事業部 開発技術チーム コンサルタント Webプログラミングのトラブル事象は星の数ほどありますが,実は初級者/入門者がはまってしまうトラブルにはいくつか決まったパターンがあります。そこでPart2では,よくあるトラブルを取り上げて,その問題点と解決方法を説明します。「日語の文字化け」「クロスサイト・スクリプティング」「最新データが表示されない」「二重クリックによる二重処理」「例外ハンドリング漏れ」の五つを取り上げます。 トラブル1 日語が文字化けする! ブラウザに表示した文字列が,“?”や意味不明の記号に変換されることがあります。これを一般的に「文字化け」と言います。Webプログラミングでは,文字化けが発生することがよくあります。ここでは「画面に表示した日語」「ブラウザから送信された日語」の

    Part2 Webアプリ開発のトラブル・シューティング(その1)
  • Struts2書籍

    国内初「Struts2入門」発売中 現在「Struts2」の書籍は屋さんでは1冊も出ていません。書は国内で唯一、Struts2の仕組みから実際のサンプルまで体系的に書かれたStruts2のです。日語の情報がほとんどない中、英文情報をもとに半年かけて調査研究した集大成です。書はこの私自身が執筆しこのwebサイトだけで直接販売しているオンライン書籍です。書籍部分はpdfファイルで、付属しているサンプルファイルはEclipseのプロジェクトファイルとしてすぐにインポートして実行できます。書籍部分はpdfなのでAdobe Readerで検索もできますし、必要なページだけをプリントして電車の中で読んだり、非常に便利です。内容は屋さんで販売するものと引けをとらない品質です。貴重な情報をあなただけにお届けします。下のほうにあるフォームでお申し込みいただくとすぐにこちらからメールをお送りしダウ

  • HTMLエスケープが行われるStrutsタグ一覧 - masaのメモ置き場

    HTMLエスケープが行われるStrutsタグ一覧を調べてみた。 bean:writeタグ html:optionsタグ html:optionsCollectionタグ html:fileタグ html:hiddenタグ html:passwordタグ html:textタグ html:textareaタグ nested:writeNestingタグ nested:writeタグ nested:optionsタグ nested:optionsCollectionタグ nested:fileタグ nested:hiddenタグ nested:passwordタグ nested:textタグ nested:textareaタグ たぶんこれで全部。 網羅的にソースを追った訳ではないので、嘘があるかも。

    HTMLエスケープが行われるStrutsタグ一覧 - masaのメモ置き場
  • 403 Forbidden

    \閉鎖予定のサイトも売れるかも?/ アクセスがないサイトもコンテンツ価値で売れる場合も… ドメインの有効期限を更新してサイト売却にトライしてみましょう

  • rough justice: Struts Console プラグインのインストール

    strutsフレームワークを利用してシステム開発する場合、どうしてもstruts-config.xml他設定ファイルを常に編集しながら作業をおこなうことになります。 eclipseにXML用のエディタプラグインをインストールしていても、設定量が増えてくるにつれて不便になってきます。っていうか、目がチカチカする。 こんなのが延々と続く。視力落とすよ。 というわけで、struts用のeclipseプラグインをインストールするわけですが、いろいろな種類のプラグインが有償・無償いろいろな形で提供されています。無償のものをいくつか試してみて、結局「Struts Console」に決めました。 一言で言うと、struts-config.xml・validation.xml・tiles-defs.xmlなんかの編集ツールです。グラフィカルなエディタというか…とりあえずインストールしてみましょう。 事前

  • Struts入門

    StrutsはWebアプリケーションのためのフレームワークです。ソフトウェアでのフレームワークとは、ソフトウェア構築のある設計方針を実現するための部品の集まりです。 Strutsでは特に入力フォームの構築を効率化するフレームワークです。すごく乱暴な言い方をすれば、入力エラーの処理をするための便利なしくみ、です。 http://jakarta.apache.org/struts/index.html StrutsはMVCモデル2というアーキテクチャを実現するためのフレームワークといわれています。 Mはモデルで、データ構造やビジネスロジックを実装します。 Vはビューで、画面表示の部分です。 Cはコントローラーで、入力を受け取って、モデル(M)の処理を呼び出してビュー(V)にその結果を伝えます。 JSPをビュー(V)、サーブレットをコントローラー(C)、そしてサーブレッ

  • 適切なエスケープ処理でクロスサイトスクリプティングに備える ― @IT

    Webアプリケーションのセキュリティホールが注目を浴びたことから、セキュリティを意識した開発の必要性が高まってきている。今後の流れとして、セキュリティ上満たすべき項目が要件定義の段階から組み込まれるケースが増えていくことが予想されるが、実際の開発現場においてはセキュリティホールをふさぐための実装方法が分からないという声も多いのではないだろうか。 そういった開発者の負担を少しでも軽くすることができるように、連載ではJavaにおけるWebアプリケーション開発時に最もよく利用されているStrutsフレームワークの実装に踏み込んで、セキュリティ上注意すべきポイントを解説していきたい。なお、連載ではStruts 1.2.8を対象として解説を行っていくが、すでにStrutsを利用したWebアプリケーション開発を行っている開発者をターゲットとしているため、Strutsの使用方法、各機能の詳細な説明な

    適切なエスケープ処理でクロスサイトスクリプティングに備える ― @IT
  • @IT:連載 Strutsを使うWebアプリケーション構築術(1)

    アプリケーション・フレームワーク「Struts」 昨今、とみに「フレームワーク・プログラミング」という言葉が取りざたされることが多くなってきました。そして、稿のテーマでもあるStrutsもまた、「サーバサイドJava」――サーブレットベースで動作する「アプリケーション・フレームワーク」の一種です。 Strutsプログラミングの具体的な手続きを紹介していくに先立って、まずはこのアプリケーション・フレームワークとしてのStrutsについて、簡単に解説しておくことにしましょう。 ■アプリケーションの枠組み フレームワーク、それはアプリケーションを構築するうえでの「枠組み」であり、「ルール」であり、(語弊を恐れずにいえば)「制限」です。 昨今、アプリケーション構築におけるチーム開発の重要性がますますクローズアップされています。アプリケーションがますます大規模化し、また、基幹システムの一角をも担う

    @IT:連載 Strutsを使うWebアプリケーション構築術(1)
  • Djangoへの片思い日記 - ■Struts脳の恐怖とRails

    Strutsは良いフレームワークであった。 登場時のStrutsは MVCを体現しWebフレームワークとしてプログラマ達に夢を見せた。 今見てしまえば冗長で可読性の低い設定ファイルに 糞のようなtaglibとゲロのようなjspであるが それでも当時はセンセーショナルだった。 しかし、その後、Strutsには悲劇が起きる。 あまりにもセンセーショナルなデビューのおかげで それを金に換えようとしている奴らに目を付けられてしまった。 人月計算とExcelスーツで出来ている奴らだ。 奴らは Strutsをいかに簡単であるか宣伝し 役に立たない講習会で金を取り sessionが何なのかすら知らない人間を大量に生み出した。 そうやって生み出されたStruts脳人間は 「動くコードが正義」の負の面を体現し スパゲティを更に絡ませたActionFormを書き 解読不能なActionを書いた。 勉強など一

    Djangoへの片思い日記 - ■Struts脳の恐怖とRails
    ockeghem
    ockeghem 2007/08/28
    『人月計算とExcelとスーツで出来ている奴らだ』こちらがオリジナル
  • 1