conf t

インフラエンジニアのメモ

脆弱性

Struts2のS2-053(CVE-2017-12611)脆弱性のPOCを検証する

monaski.hatenablog.com 環境構築は上記を参照。 POC検証 脆弱性のあるアプリで検証します。 名前を入力すると、Your nameに入力内容が表示されます。 POCを送信すると、入力内容ではなくコマンドの実行結果が表示されました。 実行させたのはwhoamiコマンド…

Struts2のS2-052(CVE-2017-9805)脆弱性のPOCを検証する

dockerでStruts2の脆弱性S2-052を検証します。 tomcatのdockerイメージをベースにStruts2検証用dockerイメージを作成します。 1.環境構築 過去のstruts2は以下からダウンロードできます。 http://archive.apache.org/dist/struts/ 今回は以下をダウンロード…