ログイン 新規登録
言語:

WEKO3
  • トップ
  • ランキング
To
lat lon distance
To

Field does not validate



インデックスリンク

インデックスツリー

メールアドレスを入力してください。

WEKO

One fine body…

WEKO

One fine body…

アイテム

  1. シンポジウム
  2. シンポジウムシリーズ
  3. コンピュータセキュリティシンポジウム
  4. 2017

OGNLの実行に起因するStruts 2の脆弱性に対する防御手法の提案

https://ipsj.ixsq.nii.ac.jp/records/187199
https://ipsj.ixsq.nii.ac.jp/records/187199
49bf2879-b481-4272-ba13-3b660cafd122
名前 / ファイル ライセンス アクション
IPSJCSS2017024.pdf IPSJCSS2017024.pdf (780.0 kB)
Copyright (c) 2017 by the Information Processing Society of Japan
オープンアクセス
Item type Symposium(1)
公開日 2017-10-16
タイトル
タイトル OGNLの実行に起因するStruts 2の脆弱性に対する防御手法の提案
タイトル
言語 en
タイトル A Method for Defending Vulnerabilities of Struts 2 Caused by OGNL
言語
言語 jpn
キーワード
主題Scheme Other
主題 Webセキュリティ,フィルタリング,脆弱性,Struts 2,OGNL
資源タイプ
資源タイプ識別子 http://purl.org/coar/resource_type/c_5794
資源タイプ conference paper
著者所属
東京大学情報学環セキュア情報化社会研究グループ
著者所属
東京大学情報学環セキュア情報化社会研究グループ
著者所属
東京大学情報学環セキュア情報化社会研究グループ
著者所属(英)
en
The University of Tokyo, Secure information society research group
著者所属(英)
en
The University of Tokyo, Secure information society research group
著者所属(英)
en
The University of Tokyo, Secure information society research group
著者名 藤本, 万里子

× 藤本, 万里子

藤本, 万里子
Search repository
松田, 亘

× 松田, 亘

松田, 亘
Search repository
満永, 拓邦

× 満永, 拓邦

満永, 拓邦
Search repository
著者名(英) Mariko, Fujimoto

× Mariko, Fujimoto

en Mariko, Fujimoto
Search repository
Wataru, Matsuda

× Wataru, Matsuda

en Wataru, Matsuda
Search repository
Takuho, Mitsunaga

× Takuho, Mitsunaga

en Takuho, Mitsunaga
Search repository
論文抄録
内容記述タイプ Other
内容記述 Struts 2はWebアプリケーション開発フレームワークで日本の多くのWebサイトで用いられている. 近年,Struts 2が利用する式言語であるObject Graph Navigation Language(OGNL)を悪用してリモートから任意のコード実行が可能となる複数の脆弱性が見つかっている.脆弱性公開とほぼ同時に攻撃コードが公開されることもあるため,十分な備えを行っていても防御が難しい状況にあり,国内で被害が多数確認されている. そこで本稿では,OGNLの記法に着目したStruts2の防御方法を提案する.サーブレットフィルタを用いて,特徴的なパターンをブロックすることにより,未知の脆弱性であっても関連する攻撃の検知と遮断が可能となることを検証する.
論文抄録(英)
内容記述タイプ Other
内容記述 Apache Struts 2 is an open-source web application framework for development and widely used in Japan. Recently, some vulnerabilities leveraging Object Graph Navigation Language (OGNL) used by Struts 2 that allow Remote code execution are found. Protecting web applications is becoming difficult if there are some countermeasures for attacking, because sometimes exploit codes are published almost the same time that vulnerabilities are published. For that reason, we observed many attacks in Japan. Therefore, in this study, we propose protecting method that focus on expression of OGNL. We tested whether it is possible to detect and protect from attacks by using Servlet Filter which blocks specific patterns even if it is unknown vulnerabilities.
書誌レコードID
識別子タイプ NCID
関連識別子 ISSN 1882-0840
書誌情報 コンピュータセキュリティシンポジウム2017論文集

巻 2017, 号 2, 発行日 2017-10-16
出版者
言語 ja
出版者 情報処理学会
戻る
0
views
See details
Views

Versions

Ver.1 2025-01-20 02:22:15.538242
Show All versions

Share

Mendeley Twitter Facebook Print Addthis

Cite as

エクスポート

OAI-PMH
  • OAI-PMH JPCOAR
  • OAI-PMH DublinCore
  • OAI-PMH DDI
Other Formats
  • JSON
  • BIBTEX

Confirm

Powered by WEKO3

Powered by WEKO3