AJ-Reportにおけるコマンドインジェクション脆弱性の回避手法と検証
脆弱性の核心は、検証ルールの処理に利用される `engine.eval` メソッドにあります。開発者はセキュリティパッチを適用しましたが、その対策は限定的であり、内部コマンド実行に関わる3つのクラスに対してのみブラックリストによる制限が設けられました。
Java 8で導入されたNashorn JavaScriptエンジンは、スクリプト内からJavaのクラスやメソッドを呼び出すことを可能に ...
5月13日 19:12 投稿