如何检查geoserver中的log4j漏洞？

Question

我正在尝试检查GeoServer中的GeoServer漏洞，在将旧的log4j包更新到解决该问题的新包之前和之后。为此，我使用Zap工具检查漏洞，在那里我发现了活动扫描规则alpha。此规则试图发现Log4Shell (CVE-2021-44228)漏洞。请查看此链接以获得更多信息https://www.zaproxy.org/docs/desktop/addons/active-scan-rules-alpha/。而且，对于如何执行这个活动扫描规则alpha，我也不太困惑。请分享一些有关其执行的信息。我的问题是，这是否是检查log4j GeoServer漏洞的正确方法？或者还有其他的方法吗？

Answer 1

您需要首先启用OAST服务(通过选项/ OAST)。您可以使用我们预先配置的公共实例之一，也可以使用您自己的实例。我们还建议您扫描标头，并且该漏洞经常由它们暴露。

有关更多细节，请参见以下博客文章:) https://www.zaproxy.org/blog/2021-12-14-log4shell-detection-with-zap/