技術者ブログ
クラウド型WAF「Scutum(スキュータム)」の開発者/エンジニアによるブログです。
金床“Kanatoko”をはじめとする株式会社ビットフォレストの技術チームが、“WAFを支える技術”をテーマに幅広く、不定期に更新中!
▼ 2017年6月 アーカイブ
OGNLインジェクションのゼロデイ攻撃を想定した防御機能
2017年6月 1日
はじめに
私は以前の「Struts2が危険である理由」というブログ記事において
例えばS2-045については止めることが出来ていました(ゼロデイでも防ぐことが出来ていました)が、S2-046についてはギリギリ、わずか数時間の差で先にScutum側の防御機能のアップデートが間に合いました。これを受けて今後、より力を入れてStruts2のOGNLインジェクションに特化したゼロデイ攻撃を想定した防御機能を開発する予定ですと書きましたが、これを実際に開発し、現在稼働中の全てのScutumのサーバに対してデプロイしました。
続きを読む ≫ OGNLインジェクションのゼロデイ攻撃を想定した防御機能