일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- FileSystemObject
- array
- 이미지세로길이
- VARIABLE
- jdbc driver
- 자바기초
- 인젝션
- sql랭킹
- update
- WML
- XML
- asp함수
- join
- MSSQL보안
- sql업데이트
- 한글입력체크
- JavaScript
- VarType
- SPLIT
- instr
- xmldom
- inner join
- injection
- wap
- sql순위
- ERD
- 정규식
- tempDB
- javascript 한글입력체크
- 이미지가로길이
- Today
- Total
3초기억력
[KISA] 캐슬 Log4j 취약점 관련 CRS Rule 업데이트 본문
제목 : [KISA] 캐슬 Log4j 취약점 관련 CRS Rule 업데이트
소스 :
내용 :
안녕하세요. 한국인터넷진흥원입니다.
최근 Apache 소프트웨어 Log4j 2에서 발생하는 취약점을 악용한 공격이 발생하고 있어 캐슬 이용자 대상 정책 업데이트 사항 안내드립니다.
※ 용어설명
Log4j는 Java/Kotlin/Scala/Groovy 코딩 도중에 프로그램의 로그를 기록해주는 라이브러리로, 이클립스,
IntelliJ IDEA, 안드로이드 스튜디오 등에 추가해서 프로그램 실행 시 자동으로 지정한 경로에 로그를 저장해주는 기능을 한다.
o Log4j 취약점 관련 CRS Rule 업데이트 추가
- CRS Rule 업데이트 절차 : 서버리스트 -> USER 정책(CRS) -> 아래 CRS Rule 복사/붙혀넣기 -> 적용
※ 관련 문의사항 : 02-405-5617
[CRS Rule] 한칸 아래부터 복사하여 사용
SecRule REQUEST_HEADERS|REQUEST_LINE|REQUEST_BODY "@rx \$\{jndi\:"\
"msg:'Generic Apache Log4J RCE Attempt', \
phase:request,\
rev:'1',\
capture,log,deny,\
id:111111"
SecRule REQUEST_HEADERS|REQUEST_LINE|REQUEST_BODY "@rx \$\{jndi\:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[\/]?[^\n]+"\
"msg:'Specific Apache Log4J RCE Attempt', \
phase:request,\
rev:'1',\
capture,log,deny,\
id:111112"
SecRule REQUEST_HEADERS|REQUEST_LINE|REQUEST_BODY "@rx \$\{jndi\:\${(lower|upper)\:"\
"msg:'Log4J RCE WAF Bypass Attempt (1)', \
phase:request,\
rev:'1',\
capture,log,deny,\
id:111113"
SecRule REQUEST_HEADERS|REQUEST_LINE|REQUEST_BODY "@rx \${\:\:-j}\${"\
"msg:'Log4J RCE WAF Bypass Attempt (2)', \
phase:request,\
rev:'1',\
capture,log,deny,\
id:111114"
SecRule REQUEST_HEADERS|REQUEST_LINE "@rx (?i)\${[\w${}\-:]*j[\w${}\-:]*n[\w${}\-:]*d[\w${}\-:]*i[\w${}\-:]*:.*}"\
"msg:'Log4J RCE WAF Bypass Attempt (3)', \
phase:request,\
ver:'OWASP_CRS/3.0.0',\
rev:'1',\
capture,log,deny,\
id:111115"
SecRule REQUEST_HEADERS|REQUEST_LINE|REQUEST_BODY "@rx (?:\$(?:\((?:\(.*\)|.*)\)|\{.*})|[<>]\(.*\))" \
"id:111115,\
phase:2,\
block,\
capture,deny,log,\
t:none,t:cmdLine,\
msg:'Remote Command Execution: Unix Shell Expression Found',\
logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',\
tag:'application-multi',\
tag:'language-shell',\
tag:'platform-unix',\
tag:'attack-rce',\
tag:'paranoia-level/1',\
tag:'OWASP_CRS',\
tag:'capec/1000/152/248/88',\
tag:'PCI/6.5.2',\
ctl:auditLogParts=+E,\
ver:'OWASP_CRS/3.4.0-dev',\
severity:'CRITICAL',\
setvar:'tx.rce_score=+%{tx.critical_anomaly_score}',\
setvar:'tx.anomaly_score_pl1=+%{tx.critical_anomaly_score}'"
예제 소스 파일 :
출처 : [KISA] 메일 공지
'자바_기초' 카테고리의 다른 글
제어자)abstract (0) | 2019.06.07 |
---|---|
접근제어자) default (0) | 2019.06.07 |
접근제어자) protected (0) | 2019.06.07 |
접근제어자) private (0) | 2019.06.07 |
접근제어자) public (0) | 2019.06.07 |