アカウント名:
パスワード:
Microsoftの.Net Framework(ASP.Net)は脆弱性あってもここまで大規模に被害が報告されることが少ないよね?
ただ単に採用例が少ないのか、サーバとはいえ半ば強制的にパッチをあてる仕組みが優秀なのか、GUIぽちぽちクリックするだけでアップデートが完了するのが優秀なのか。
どれでしょう?
脆弱性の一覧を調べてみました。
struts (1系、2系含む)https://www.cvedetails.com/vulnerability-list/vendor_id-45/product_id-... [cvedetails.com]2005/11/22より12年で57件、最高スコアが10.0 (最高値)
ASP.NET (1.1~)https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-... [cvedetails.com]2003/09/22より15年で10件、最高スコアが7.8、任意コード実行なし
他はSpringが7件、CakePHPが5件。上記は言語ランタイムの件数を含めていないし、それぞれのコードの規模にもよるんだろうけど、strutsはかなり脆弱性が多い印象。
Strutsはパラメータからリフレクション(とかファクトリ)で実行コードを呼び出す方法を多用してるけど、そこが特に深刻な脆弱性につながりやすい。機能のカスタマイズ性を高めるためにやってるのはわかるけど、脇が甘すぎる。せめて、パラメータベースで実行されるコードをホワイトリストで管理する仕組みを全面的に取り入れるべきだった。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
.Net Framework (スコア:0)
Microsoftの.Net Framework(ASP.Net)は脆弱性あっても
ここまで大規模に被害が報告されることが少ないよね?
ただ単に採用例が少ないのか、
サーバとはいえ半ば強制的にパッチをあてる仕組みが優秀なのか、
GUIぽちぽちクリックするだけでアップデートが完了するのが優秀なのか。
どれでしょう?
Re:.Net Framework (スコア:5, 参考になる)
脆弱性の一覧を調べてみました。
struts (1系、2系含む)
https://www.cvedetails.com/vulnerability-list/vendor_id-45/product_id-... [cvedetails.com]
2005/11/22より12年で57件、最高スコアが10.0 (最高値)
ASP.NET (1.1~)
https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-... [cvedetails.com]
2003/09/22より15年で10件、最高スコアが7.8、任意コード実行なし
他はSpringが7件、CakePHPが5件。
上記は言語ランタイムの件数を含めていないし、それぞれのコードの規模にもよるんだろうけど、
strutsはかなり脆弱性が多い印象。
Re:.Net Framework (スコア:1)
Strutsはパラメータからリフレクション(とかファクトリ)で実行コードを呼び出す方法を多用してるけど、そこが特に深刻な脆弱性につながりやすい。
機能のカスタマイズ性を高めるためにやってるのはわかるけど、脇が甘すぎる。せめて、パラメータベースで実行されるコードをホワイトリストで管理する仕組みを全面的に取り入れるべきだった。