struts2の脆弱性どうしておけばよかったか。。。

こんばんわ。

koutaです。

何回かstruts2の脆弱性について書きました。

これだけ書いたら対策してくれていることを祈っています。

今日はどうしたら良かったか？です。

まず問題の原因ですが、

struts2のOGNL(Object Graph Navigation Library)の解釈の問題です。

ある攻撃をした時に上記の機構が働いてなんでもできる状態になってました。

(ぼやかし過ぎたら意味わからなくなってます)

OGNL式をインジェクションすると、動いてしまうというわけです。

実際にサーバーのコマンドが実行できました。

ではどうするか？

1. 攻撃されてもすぐに気づける環境を構築する。
2. すぐにアップデートできる準備をしておく。
3. 情報流出が起こっても大丈夫なようにしておく。

こんなところです。

次回は一つずつ解説していきます。