リンク先は，「Apache Struts」としか書かれてないけど，Struts 1.x と Struts 2.x は（開発元は同じでも）別モンという認識なので，あえて「Struts 2」と書いている． で，この脆弱性，心底ヤバいという風である．該当するStruts 2を使ってるWebアプリ，本…

ええと，帰宅してからいままでに，一度過熱して落ちました…＞オレのマシン

別にオレは，世の中のすべてのWebサイトに責任を持つ者でもなんでもないけどｗ，さすがにここまで放置されているWebサイトが多いと気になる． どのような運用になっているのか？てのはあるけど，自分ところのWebサイトがどんなになってるのか？てのは，折を…

見え見えの特徴があるところで「どうやって？」などと聞かれても「ここまでわかれば普通調べられるだろ」としか言えない． 改ざんコードの特徴を検索エンジンに食わせれば，嫌でも山ほど見つかる…． 見つかったURLを，wgetなりのコマンドで取得して内容を目…

というのは，きわめてあたりまえのことなのだがｗ，このような改ざんに気づいてないWebサイト／Webサーバの管理者は，次に改ざんされても気づかない可能性がある． 要は「改ざんしやすいWebサイトリスト」に掲載され続けてるように見えるけど，当人は何も気…

少し見て回ると，おおよそなおってるか，改ざんされたWebページが消されてるか閲覧出来ない状況になっているかという風に見える． が，「残ってるんじゃないか？」とちょっとだけ根性入れて探すと，いや，あるわあるわ…． で，残ってるところの特徴をざっと…

ということで，少しだけ調査をしてみた．*1 JPCERT/CCからもWeb サイト改ざんに関する注意喚起としてリリースされていますが，1ヶ月以上経過してたりする． どういう状況なのか？を少し調べてみた． *1:別に暇な訳じゃないけど，いろいろとひっかかる

アレ＝大規模改ざんの件について書いてから．

結論から言うと，「使わないよりは使ったほうがいい」となる．ただ，これ使ったからすべてが最新であると思わないほうがいい． 対応製品は，Windows版とLinux版で何気に同じだが，要は「Webサーバ」「Tomcat 1.5」「BIND」「Java」「OpenSSL」というように，…

結論から言うと，「使わないよりは使ったほうがいい」となる．ただ，「絶対に使わなければならない」ほどのものか？と言われると，ちょっと疑問だ． 以下にその理由を． 2013年1月のJVNからのリリースの中で，「ウェブブラウザ上で Java を実行する必要がな…

上の事例で明らかに抜けているのは，Webアプリケーションの脆弱性を突いたとおもわれるもの．それも個別に作ったものではなく，古いパッケージ製品や，脆弱性がすでに判明している（そして攻撃手段も準備されている）オープンソースなCMSの脆弱性を突いたと…

なんともな感じだが，IPAから「 止まらないウェブ改ざん！ 」〜ウェブサイトの管理の再検討を！〜という周知が出ている． この周知は，先月までに多く確認されたWebサイト改ざんを受けてなされたものだが，内容は大変限定的なものになっている． 読んでる人…

まぁ，これはしょうがない…