Apache Struts är ett webbramverk som är mycket populärt i företrädesvis enterprise-iga myndighetsapplikationer. Utöver sin intressanta programmeringsmodell utmärker sig Struts genom sin historik av kritiska säkerhetsproblem, inte sällan med remote code execution (RCE) som konsekvens.
På det här passet kommer vi att titta lite på hur Struts är att jobba med och hur sårbarheten som släpptes idag (onsdag 6 september) fungerar. Större delen av passet är praktisk.
Målet är att deltagarna ska ha förståelse för hur Struts-sårbarheterna fungerar och kan utnyttjas samt visa en proof-of-concept för kund ifall det skulle behövas.
- Clone:a ut report
- Importera
exploiting-struts/lab1
från befintliga sources, Maven - Starta Maven-bygget
jetty:run
- Kolla att
http://localhost:8080
funkar