Struts2に見つかった脆弱性と同様の脆弱性がStruts1系にも見つかりました。 Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響 HTTP(S)のリクエストでJavaのClassLoaderのメソッドが呼び出せてしまうという脆弱性です。 もう少し噛み砕いて言えば、リクエストのパラメータをJavaBeansにセットする時に、リフレクションを使い、パラメータ名にaaa.bbb.cccのようなネストした名前をサポートしているフレームワークは同様の問題が起こる可能性があります。 パラメータ名をclass.classLoader.xxxのような感じにして、ClassLoaderのメソッドを呼び出す訳です。 このような問題を起こすリフレクションフレームワークで最も有名なのは、Apache Commons BeanUtilsです。リクエストのパラメータ
SAStrutsを触る機会があったので、いろいろと書いてみる。 そもそもS2StrutsとSAStrutsの違いってなんなの?ってところから始まるわけなんですが・・・ ひがさんのブログでは SAStrutsかS2Strutsか 既にS2Strutsで開発している案件の追加開発ならS2Struts。 JDK1.4をつかうならS2Struts。 それ以外は、SAStruts。 とあったが、根本的に何が違うのかがよくわからなかった。 私の印象では Strutsで開発をする場合にActionやActoinFormをコンポーネント化できたり、POJOとして開発できるようになったりというStrutsの拡張フレームワーク的な印象がある。 Strutsのラッパーフレームワークで、Strutsをベースにしているが利用者はStrutsを意識して開発する必要がない。 (MVCフレームワークをより単純化したフレー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
