我正在尝试检查GeoServer中的log4j漏洞,在将旧的log4j包更新为解决该问题的新包之前和之后。为此,我正在使用Zap工具来检查漏洞,我在其中找到了活动的扫描规则alpha。此规则尝试发现Log 4Shell(CVE-2021-44228)漏洞。检查此链接以获取更多信息https://www.zaproxy.org/docs/desktop/addons/active-scan-rules-alpha/。而且我对如何执行此主动扫描规则alpha有点困惑。请分享一些有关其执行的信息。我的问题是,这是否是检查GeoServer?中的log4j漏洞的正确方法,或者是否有其他方法?
1条答案
按热度按时间ars1skjm1#
您需要首先启用OAST服务(通过Options / OAST)。您可以使用我们预先配置的公共服务之一,也可以建立自己的示例。我们还建议您扫描标头,因为标头通常会暴露此漏洞。
有关详细信息,请参阅此博客文章:)https://www.zaproxy.org/blog/2021-12-14-log4shell-detection-with-zap/