「Apache Tapestryの注意すべき特殊な仕様」というタイトルで登壇したのは、諌山貴由氏。「おもしろかった脆弱性」について解説し合い、脆弱性に関する知識を深めるためのイベント「Security․Tokyo #2」で、Apache Tapestry特有の仕様について説明しました。
諌山貴由氏は三井物産セキュアディレクションに所属しており、セキュリティに関わる仕事をしています。Webアプリケーション診断を行っており、今回は特殊な事例を紹介しました。
彼は、Apache Tapestryというフレームワークの特殊な仕様について調査を行いました。特に、URLエンコードの方法や特殊なエンコード形式について注目しました。彼が見つけた特殊なエンコードは、通常のツールでは検出できない可能性があります。
彼はさまざまな方法でエンコードを試しましたが、特殊なエンコード形式が必要であることがわかりました。また、Apache Tapestryには特定のパラメーターが含まれていることから、フレームワークの判別も可能であることを発見しました。
特殊なエンコードによって、SQLインジェクションなどの脆弱性が疑われる状態になりました。彼はさらに調査を行い、バージョンの取得やデータベース内の情報取得などを行いました。
彼は、Apache Tapestryの特殊なエンコードについてソースコードから調査し、その仕様を解明しました。さらに、日本語のエンコーディングに対応するためのツール「YaguraExtender」を開発しました。
この報告から、Apache Tapestryの特殊なエンコードには注意が必要であり、フレームワークの仕様をしっかり理解する必要があるということがわかりました。このような特殊なエンコーディングに慣れておくことは、セキュリティ上非常に重要です。
主催者としては、諌山貴由氏の報告によりApache Tapestryの脆弱性について理解を深めることができ、セキュリティ対策をより強化することができると感じています。今後も彼の活動に注目し、セキュリティ向上に寄与していきたいと思います。
