Apache Struts (cve - 2017 - 5638)

要扫描并报告Apache Struts (CVE-2017-5638)漏洞,您可以使用任何包含Web Spider的扫描模板,如全面审计、HIPPA遵从性、Internet DMZ审计或PCI审计模板。这些模板包括一个与Web Spider功能一起工作的检查,并使用“。行动”后缀。

步骤1:配置扫描模板

要扫描Apache Struts (CVE-2017-5638)漏洞,您可以使用一个默认的扫描模板(包括Web Spider),或者您可以创建一个自定义扫描模板,只检查Apache Struts漏洞。

使用默认扫描模板

  1. 在安全控制台中,进入政府选项卡。
  2. 在下面扫描选项区域,点击管理扫描模板链接。
  3. 选择包含Web Spider(全面审计、HIPPA遵从性、Internet DMZ审计或PCI审计)的模板,单击模板名称打开该模板。
  4. 浏览到“Web Spidering”选项卡。
  5. 在“路径”部分,将所有必要的路径添加到引导路径字段。每个路径必须后跟一个斜杠,并用逗号分隔(例如:/ org/apps/ /其他/ org/).

笔记

如果在默认爬行过程中无法发现应用程序的uri,则必须向扫描模板添加必要的路径。

搜索路径

  1. 将更改保存到模板中。

创建自定义扫描模板

如果出于提高效率的目的希望限制扫描的范围,可以创建只运行Apache Struts.漏洞检查。

要创建一个只运行Apache Struts漏洞检查的自定义扫描模板:

  1. 在安全控制台中,进入政府选项卡。
  2. 在下面扫描选项区域,点击管理扫描模板链接。
  3. 找到完整的审计模板,然后单击复制扫描模板图标。一份全面审计模板,以便我们专门为Apache Struts配置它。副本将填写所有必需的字段。不需要额外的更改。

笔记

一定要遵循步骤4到步骤6前一节如果需要配置网络搜索

自定义扫描模板

  1. 在“常规”选项卡中,找到的名字字段,并为扫描模板输入新的名称。您应该给它一个容易识别的名称,例如“Apache Struts”。
  2. 漏洞检查选项卡并找到“Selected Checks”部分。您将看到三个下拉字段:按类别、按检查类型和按个别检查。

漏洞检查

  1. 点击“By Individual Check”下拉菜单展开它,然后点击“Add Checks”。
  2. 搜索“cve - 2017 - 5638”。
  3. 当结果出现时,单击全选复选框以选择所有Apache Struts检查。

选择所有检查

  1. 保存更改。

现在,此扫描模板仅包括Apache Struts的检查。您可以通过删除“类别”和“检查类型”进一步优化扫描模板。为此,请展开这些下拉列表,单击“删除类别”按钮,然后选择列表中的所有项目。保存更改。

完成后,您的“选定支票”部分应如下所示:

选择检查示例

您现在拥有一个专门用于扫描Apache Struts漏洞的自定义模板。保存新的扫描模板。

第二步:扫描你的网络

根据您的产品,使用上述配置的模板之一运行扫描。扫描完成后,在“安全控制台主页上的”搜索“字段中搜索”CVE-2017-5638“。

搜索结果

为了不断监控易受影响的任何资产Apache Struts.,创建一个动态资产组基于你搜索的CVE ID您过滤的资产搜索应该寻找与CVE ID本身的精确匹配(CVE ID = is = CVE-2017-5638)。

动态资产组

步骤3:报告Apache Struts

我们可以用aSQL查询在您的网络中报告CVE-2017-5638。

要做到这一点,单击报告在安全控制台菜单上的选项卡。在“创建报告”下,请在“模板”下选择“导出”选项卡。或者,您还可以在模板搜索字段中键入“SQL”,该字段将缩小列表到我们所需的模板:SQL查询的出口

SQL报告

选中该模板后,您将看到一个灰色的“查询”框出现在配置部分下面。点击这个区域打开它,然后粘贴下面的SQL脚本:

         

          sql

           
          

         

          

           

            1

           选择网站IP地址DS.的名字作为“软件名称”host_nameDV.标题Favi.港口proofASTextFavi.证明的)作为证明
          

          

           

            2

           fact_asset_vulnerability_instance favi
          

          

           

            3.

           加入dim_vulnerability dv使用vulnerability_id.的)
          

          

           

            4.

           加入dim_asset da使用Asset_id.的)
          

          

           

            5.

           剩下加入dim_asset_software das使用Asset_id.的)
          

          

           

            6.

           剩下加入dim_software dsDS.software_id.=达斯software_id.
          

          

           

            7.

           在哪里nexpose_id=“apache struts - cve - 2017 - 5638的nexpose_id='Struts-cve-2017-5638'

单击“验证”以确保将正确读取脚本。如果您想了解结果的样子,可以使用“预览”按钮来检索响应查询的前十个记录。完成后单击“完成”。

如果希望报告特定的扫描、站点或资产组,可以在查询字段下方定义报告的范围。现在我们可以把这份报告留着以后用了。如果您想同时创建一个报告,请单击“保存并运行报告”。

有关Apache Struts漏洞检查的更多信息,请参阅以下博客文章:

https://blog.rapid7.com/2017/03/09/apache-jakarta-vulnerability-attacks-in-the-wild/https://blog.rapid7.com/2017/03/15/using-web-spider-to-detect-vulnerable-apache-struts-apps-cve-2017-5638/