apache strusts 취약점 썸네일형 리스트형 apache struts2 취약점 (CVE-2017-5638) apache struts2 취약 버전 - Struts 2.3.5 - Struts 2.3.31 - Struts 2.5 - Struts 2.5.10 ※ 취약한 strust2가 설치된 windows/linux 환경 취약점 테스트 1. apache struts2 취약한 페이지 2. 취약점 공격 시도 3. 시스템 명령어 실행 4. 공격코드 분석 해당 취약점은 HTTP 요청 시 Content-Tpye 부분에 OGNL 형식으로 #cmd 변수의 공격 명령어를 #_memberAccess 인자에 의해 특수문자를 필터링하지 않고 외부 인자 값을 java Runtime 빌더로 넘겨 해당 명령어를 실행한다. 더보기 이전 1 다음
