שיתוף | בהמשך לחולשת האבטחה בספריית log4 באפאצ'י
-
בהמשך לחולשה בlog4j מדובר בחולשה קריטית עם סבירות למימוש גבוהה, ממליץ לכולם להוסיף את התוסף הבא לBurpSuite
https://github.com/PortSwigger/active-scan-plus-plus
הוא יאתר לכם את החולשה בקלות.הפירצה מאוד דומה לshellshock למי שזוכר כאשר שורה אחת ביוזר אג׳נט עלולה להביא לrce, רק שפה מדובר בJNDI injection, מי שלא מכיר jndi זה בעצם api בjava שמאפשר לעשות lookup לאובייקטים כגון ldap..ככה שזה קצת יותר מסורבל ומצריך מאיתנו ליצור שרת ldap זדוני כדי לנצל את החולשה הזו..למזלנו הסינים כבר יצרו אוטומציה לזה..
https://github.com/feihong-cs/JNDIExploit/בנוסף אם אתם רוצים לשחק קצת עם החולשה ולהבין אותה לעומק ממליץ לכם להוריד את האפלקיציה הפגיעה
https://github.com/christophetd/log4shell-vulnerable-appמי שרוצה להעמיק קצת בנושא הjndi ממליץ על הכתבות הבאות:
https://mbechler.github.io/2021/12/10/PSA_Log4Shell_JNDI_Injection/
https://mbechler.github.io/2018/01/20/Java-CVE-2018-2633/לא אני תימצתתי
שלום! נראה שהשיחה הזו מעניינת אותך, אבל עדיין אין לך חשבון.
נמאס לכם לגלול בין אותם הפוסטים בכל ביקור? כשנרשמים לחשבון, תמיד תחזרו בדיוק למקום שבו הייתם קודם, ותוכלו לבחור לקבל התראות על תגובות חדשות (בין אם במייל, ובין אם בהתראת פוש). תוכלו גם לשמור סימניות ולפרגן ב-upvote לפוסטים כדי להביע הערכה לחברי קהילה אחרים.
בעזרת התרומה שלך, הפוסט הזה יכול להיות אפילו טוב יותר 💗
הרשמה התחברות