Tweet【概要】 前回は検証では攻撃者が制御を誘導することが可能であることを確認しました。今回は実際の攻撃を想定し「webshell」が設置できることを確認します。webshellはブラウザからコマンドを入力し、その結果を表示するようなウェブアプリケーションです。 【影響を受ける可能性があるシステム】 - Apache Struts 2.0.0 – 2.3.16 【対策案】 Apache Software Foundationから本脆弱性を修正されたバージョン「Apache Struts 2.3.16.1」がリリースされております。当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。 なお、上記の「Apache Struts 2.3.16.1」では、回避策(Workaround)として記述のあるとおりに初期設定が変更になっております。そのため、緊急のバージョ
![Apache Struts 2のClassLoader を外部から操作される脆弱性(CVE-2014-0094)(S2-020)を利用した攻撃検証レポート « (n)](https://cdn-ak-scissors.b.st-hatena.com/image/square/6a5697f9f4fe3ac77aab0d573f4aae04edf319d8/height=288;version=1;width=512/http%3A%2F%2Fn.pentest.jp%2Fwp-content%2Fuploads%2FS2-020-webshell-300x165.png)