티스토리 뷰
1. 취약점 설명
Apache Struts2 RCE S2-045 - CVE-2017-5638 취약점 분석 참고
2. 탐지 Rule
국내에서 배포한 Rule 보니 업로드라 HTTP Method Post 만 Content로 잡아놓은 Rule 또는 변경 가능한 변수들을 Content에 포함하는 경우가 많더라구요, 이러한 경우 실제 공격에 대해 미탐 가능성이 높으니 Rule 만드실 때 위에 취약점 분석 / 아래 Rule 참고 바랍니다.
1) # content 대신에 모두 http_header 사용하셔도 됩니다.
alert tcp any any -> any any (msg:"Vulmon_Struts2_RCE_CVE-2017-5638"; flow: to_server,established; content:"Content-Type\:|20|"; content:"multipart/form-data"; content:"@ognl.Ognlcontext"; nocase; sid:3; rev:1;)
2)
alert tcp any any -> any any (msg:"Vulmon_Struts2_REC_CVE-2017-5638_2"; flow: to_server,established; pcre:"/Content-Type:\s.+multipart\/form-data.+ognl.OgnlContext/iH"; sid:4; rev:1;)
'Vulmon Rule' 카테고리의 다른 글
| Apache Struts2 RCE S2-046 - CVE-2017-5638_2 (0) | 2017.03.22 |
|---|---|
| CVE-2016-100033, 10045 - PHPMailer Remote Code Execution (0) | 2017.01.08 |
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
TAG
- cve-2016-10045
- Suricata
- phpmailer
- 취약점분석
- cve-2016-10033
- 취약점
- s2-046
- Struts2
- CVE-2017-5638
- Vulmon
- S2-045
- Snort
- PHPMailer RCE
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
글 보관함