でContent-typeをapacheのログに記録するように設定したら、
それなりにスキャンが見られました。
今のところ、新しいようなリクエストのパターンは見られず、
すでに公開されている攻撃コードの典型的なパターンが多いようです。
サンプルアプリなどに入っていそうな名前の、xx.action などの
パスへのリクエストが多そうです。
存在するパスに対しても、サーブレットフィルタがブロックしてくれていました。
引き続き、観測を続けたいと思います。
でContent-typeをapacheのログに記録するように設定したら、
それなりにスキャンが見られました。
今のところ、新しいようなリクエストのパターンは見られず、
すでに公開されている攻撃コードの典型的なパターンが多いようです。
サンプルアプリなどに入っていそうな名前の、xx.action などの
パスへのリクエストが多そうです。
存在するパスに対しても、サーブレットフィルタがブロックしてくれていました。
引き続き、観測を続けたいと思います。
TrackBack URL: http://www.reverse-edge.com/cgi-bin/mt/mt-tb.cgi/19
Since I'd configured the log setting of apache to record Content-type, scanning activities have been observed which seem to leverage a vulnerability of Struts2.
Any new type of request's patterns have not been observed so far,
it seems that most requests were based on a typical pattern
which is disclosed in public:
likely path such as xx.action used in sample applications etc.
Some requests against exist path were blocked by Servlet filter.
I'll keep continue monitoring the logs.