Java はセキュリティに関して常に悪い評判がありますが、過去 15 年間のエンタープライズ アプリケーションの半分がこの言語で書かれていたことを考えると、その普及度 (とよく知られた攻撃ベクトル) は Java 固有のセキュリティの弱点だけよりも責められるべきかもしれません。 とはいえ、Java 仮想マシン (JVM) レベルで Java Web アプリケーションのセキュリティを向上させる新しいアプローチ (Rask や Waratek など) が開発されていますが、ほとんどの組織では、Java アプリケーションに従来のセキュリティ防御を導入することにより、Java 関連の悪用から大部分を保護することができます。 以下は、Java ベースのアプリケーション開発をサポートするツールや一般的なアプリケーションを含む、Java 技術の脆弱性トップ 10 です。
JUnit
このユニット テスト フレームワークは、ほとんどの Java 開発者のツールキットの標準アイテムで、コードベースのテストを迅速かつ自動的に実行できます。 しかし、他のアプリケーションに付属する JUnit ファイルには、脆弱性が潜んでいる可能性があります。 たとえば、Google Web Toolkit (GWT) の 2.5.1 RC より前のバージョンには、複数のクロスサイトスクリプティング (XSS) 脆弱性があります。
Jenkins
市場で最もよく使用されている継続的インテグレーション (CI) サーバーとして、Jenkins には Java 開発者の間で多くの支持者がいます。 残念ながら、継続的インテグレーション ツールとしての人気は、通常、より多くの脆弱性と悪用を意味し、Jenkins の場合、複数の XSS、クロスサイトリクエストフォージェリ (CSRF)、およびサービス妨害 (Dos) 脆弱性が存在します。 7508>
Maven
Apache Maven は、Java プロジェクトのために広く使用されているビルドマネージャーで、プロジェクトのビルド、レポート、およびドキュメントの中央管理を可能にしています。 7508>
Tomcat
この人気のある Java Web アプリケーションサーバーは、JavaServer Pages でサーブレットやアプリケーションを構築する開発者の間で長年の人気を誇っています。 10 年以上の歴史を持つ Tomcat は、XSS から CSRF 脆弱性まで、比較的印象的な範囲のセキュリティ ギャップを蓄積しており、その多くが実際に悪用されています。 7508>
Spring Framework
Spring は、Java 用の独自のモデル-ビュー-コントローラフレームワークで、入力、ビジネス、および UI ロジックを分離できるようにするアプリケーションフレームワークです。
JavaServer Faces
JavaServer Faces (JSF) は、再利用可能なユーザーインターフェース要素の開発を容易にする Java 用のプレゼンテーションフレームワークである。 Apache MyFaces Core 2.0.x (2.0.12 以前) および 2.1.x (2.1.6 以前) には、リモート攻撃者に任意のファイルを読み取らせる脆弱性が存在します。 残念なことに、そのヘルプ ファイルの特定のバージョンには、XSS 関連の脆弱性があります。
Vaadin
Vaadin は、現代の Java Web アプリケーション (Java で駆動するシングル ページの Web アプリケーションを考えてください) を構築する人気の Java フレームワークです。 このフレームワークに XSS 脆弱性があり、リモートの攻撃者が任意のスクリプトをページに注入することができます。
Remediation
上記の脆弱性を修正するには、これらの技術のどれがあなたの環境で使用されているかを特定し、それぞれのベンダー/プロジェクトのウェブサイトで更新/パッチ情報を確認する必要があります。 UpGuardは、マウスを数回クリックするだけで、これらの項目をすべて自動的に見つけることができます。 さらに、編集可能なJava脆弱性ポリシーは、追加のJavaツールのカスタムチェックに対応するために拡張することができます。 今すぐテストドライブをお試しください。