如何检查geoserver中的log4j漏洞?

【问题标题】:How to check the log4j vulnerability in geoserver?如何检查geoserver中的log4j漏洞?
【发布时间】:2022-01-18 08:56:00
【问题描述】:

我正在尝试检查 GeoServer 中的 log4j 漏洞,在将旧 log4j 包更新为解决问题的新包之前和之后。为此,我使用 Zap 工具来检查漏洞,在那里我发现了主动扫描规则 alpha。此规则尝试发现 Log4Shell (CVE-2021-44228) 漏洞。查看此链接以获取更多信息https://www.zaproxy.org/docs/desktop/addons/active-scan-rules-alpha/。 而且我对如何执行这个主动扫描规则阿尔法有点困惑。请分享一些有关其执行的信息。 我的问题是这是否是检查 GeoServer 中这个 log4j 漏洞的正确方法?或者还有其他方法吗?

【问题讨论】:

标签: log4j geoserver zap


【解决方案1】:

您需要先启用 OAST 服务(通过选项/OAST)。 您可以使用我们预先配置的公共实例之一,也可以建立您自己的实例。 我们还建议您扫描标头,因为此漏洞通常会被它们暴露。

有关更多详细信息,请参阅此博客文章 :) https://www.zaproxy.org/blog/2021-12-14-log4shell-detection-with-zap/

【讨论】:

  • 虽然此链接可能会回答问题,但最好在此处包含答案的基本部分并提供链接以供参考。如果链接页面发生更改,仅链接答案可能会失效。 - From Review
  • 我们不会删除博客文章或更改链接 :) 但我可以添加更多内容,而无需尝试复制整个博客文章...
  • :) 添加了更多详细信息
猜你喜欢
相关资源
最近更新 更多
热门标签
Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式