アカウント名:
パスワード:
なぜそのコードでは駄目なのか、どうして脆弱性になるのか、どうすれば脆弱性を取り除けるのかをもっといろんな人が詳しく解説してくれればさらに安全性の高いコードが書けるようになり脆弱性の発見も増えると思うのですがその辺の初心者向けの情報が少ない気がします
Struts知らないのでアレですが、Parserがらみで推測するに適切に文字列をエスケープできてなかったということが今回の争点のはず。たとえばこのスラドのコメント欄にはHTML形式である程度文章を装飾できる機能がありますが、なんでもかんでもタグを受け入れていたら、サイトの構造が破壊されてしまいます。なので実行できる=タグとして認識する文字列(のフォーマット)を限定するわけですが、それと同様の対策行為が、Strutsの場合は甘かったというのが今回の問題ではないかと。
もっとも、このStrutsというのは大元の設計自体がアレなのでParseでどうにかなるレベルではないということらしいです……。
Strutsは設計以前にコンセプトの段階がすでにアレなので…開発開始時点の状況であれば仕方がないところなのかな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
脆弱性が報告されるのはいいことだが・・・ (スコア:0)
なぜそのコードでは駄目なのか、どうして脆弱性になるのか、どうすれば脆弱性を取り除けるのかを
もっといろんな人が詳しく解説してくれればさらに安全性の高いコードが書けるようになり脆弱性の発見も増えると思うのですが
その辺の初心者向けの情報が少ない気がします
Re:脆弱性が報告されるのはいいことだが・・・ (スコア:2, 興味深い)
Struts知らないのでアレですが、Parserがらみで推測するに適切に文字列をエスケープできてなかったということが今回の争点のはず。
たとえばこのスラドのコメント欄にはHTML形式である程度文章を装飾できる機能がありますが、
なんでもかんでもタグを受け入れていたら、サイトの構造が破壊されてしまいます。
なので実行できる=タグとして認識する文字列(のフォーマット)を限定するわけですが、それと同様の対策行為が、Strutsの場合は甘かったというのが今回の問題ではないかと。
もっとも、このStrutsというのは大元の設計自体がアレなのでParseでどうにかなるレベルではないということらしいです……。
Re: (スコア:0)
Strutsは設計以前にコンセプトの段階がすでにアレなので…
開発開始時点の状況であれば仕方がないところなのかな