如何检查geoserver中的log4j漏洞?

2w2cym1i  于 2022-11-06  发布在  其他
关注(0)|答案(1)|浏览(524)

我正在尝试检查GeoServer中的log4j漏洞,在将旧的log4j包更新为解决该问题的新包之前和之后。为此,我正在使用Zap工具来检查漏洞,我在其中找到了活动的扫描规则alpha。此规则尝试发现Log 4Shell(CVE-2021-44228)漏洞。检查此链接以获取更多信息https://www.zaproxy.org/docs/desktop/addons/active-scan-rules-alpha/。而且我对如何执行此主动扫描规则alpha有点困惑。请分享一些有关其执行的信息。我的问题是,这是否是检查GeoServer?中的log4j漏洞的正确方法,或者是否有其他方法?

ars1skjm

ars1skjm1#

您需要首先启用OAST服务(通过Options / OAST)。您可以使用我们预先配置的公共服务之一,也可以建立自己的示例。我们还建议您扫描标头,因为标头通常会暴露此漏洞。
有关详细信息,请参阅此博客文章:)https://www.zaproxy.org/blog/2021-12-14-log4shell-detection-with-zap/

相关问题