保護されていない Selenium Grid を SeleniumGreed から保護する

ここ数週間、暗号通貨マイナーが、セッション作成時にコードを注入して暗号通貨マイナーをダウンロードして起動することにより、保護されていない Selenium Grid を悪用しているという話が広まっています。これは、Wiz が SeleniumGreed と呼ぶ攻撃に関する Wiz の働きのおかげで明らかになりました。この問題はほとんどのバージョンの Selenium で悪用される可能性がありますが、Selenium Grid 3.14 を悪用するのに多くの労力が費やされているようです。セキュリティ項目が追加されてから時間が経っているので、アップグレードしてください。

Selenium Grid はデフォルトでは認証がありません。これは、リソースの悪用を防ぐために、常に安全なネットワークの背後に配置することを想定しているためです。Grid を保護する方法はあり、ヘルプセクションのドキュメントでその方法を説明しています。詳細については、以下を実行してください。

java -jar selenium-server-<version>.jar info security

これに対抗するもう 1 つの方法は、クラウドプロバイダーを使用して Selenium Grid を実行することです。私たちを後援してくれているベンダーが多数ありますので、スポンサーページをご覧ください。ヘルプセクションを読んだ後、ヘルプが必要な場合は、チャットルームにお越しください。Grid をより安全にするためのガイドをさせていただきます。

• 前へ
• 次へ