@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00187199,
 author = {藤本, 万里子 and 松田, 亘 and 満永, 拓邦 and Mariko, Fujimoto and Wataru, Matsuda and Takuho, Mitsunaga},
 book = {コンピュータセキュリティシンポジウム2017論文集},
 issue = {2},
 month = {Oct},
 note = {Struts 2はWebアプリケーション開発フレームワークで日本の多くのWebサイトで用いられている． 近年，Struts 2が利用する式言語であるObject Graph Navigation Language（OGNL）を悪用してリモートから任意のコード実行が可能となる複数の脆弱性が見つかっている．脆弱性公開とほぼ同時に攻撃コードが公開されることもあるため，十分な備えを行っていても防御が難しい状況にあり，国内で被害が多数確認されている． そこで本稿では，OGNLの記法に着目したStruts2の防御方法を提案する．サーブレットフィルタを用いて，特徴的なパターンをブロックすることにより，未知の脆弱性であっても関連する攻撃の検知と遮断が可能となることを検証する．, Apache Struts 2 is an open-source web application framework for development and widely used in Japan. Recently, some vulnerabilities leveraging Object Graph Navigation Language (OGNL) used by Struts 2 that allow Remote code execution are found. Protecting web applications is becoming difficult if there are some countermeasures for attacking, because sometimes exploit codes are published almost the same time that vulnerabilities are published. For that reason, we observed many attacks in Japan. Therefore, in this study, we propose protecting method that focus on expression of OGNL. We tested whether it is possible to detect and protect from attacks by using Servlet Filter which blocks specific patterns even if it is unknown vulnerabilities.},
 publisher = {情報処理学会},
 title = {OGNLの実行に起因するStruts 2の脆弱性に対する防御手法の提案},
 volume = {2017},
 year = {2017}
}