久しぶりの検証記事です。 今回は JBOSS RIchfaces というフレームワークの脆弱性ですが、このフレームワークは2016年6月でEOLを迎えており、すでにサポートは終了しています。 RichFaces End-Of-Life Questions & Answers |JBoss Developer そのため、パッ…

7月のOracleの定期のパッチリリースでいくつか脆弱性の修正が入りました。 CPU July 2018 危険度の高い脆弱性として、以下の2つがあり、いずれも攻撃コードが公開されています。 CVE-2018-2893 WLS Core Components の脆弱性でT3プロトコルを利用してネット…

昨年の末ごろにデバッガを使って脆弱性検証を行う勉強会に参加させていただきました。 ※好評につき追加開催※ デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう - connpass とても参考になりました。その時の内容は下記の記事がとても詳しくま…

最近Webサイトのクローリング(スクレイピング？)に興味を持ちまして、Webサイトのクローラ的なものを作りたいと思い、いろいろ試行錯誤していました。 Webサイトのコンテンツを取得するなら、一番簡単なものだとwgetやcurl、ちょっと手を加えるならスクリプ…

久しぶりにブログ書きます。 最近あまりネタがなかったのでちょっとさぼり気味でした。 今月に公開されたSpring Frameworkの脆弱性(CVE-2018-1270)についてです。 CVE-2018-1270: Remote Code Execution with spring-messaging | Security | Pivotal Spring …

久しぶりにハニーポット関連。 morihi-soc 氏が作成した WOWHoneypot というWebハニーポットを使ってみました。 github.com 詳しい説明は以下のスライドで。 sssslide.com Python3だけで動く極々単純な仕組みのハニーポットです。ざっくり言うと、待ち受けポ…