Log4j2 漏洞检测工具清单
2022-02-18 11:02:41   来源:黑客技术与网络安全   评论:0 点击:

  距离Log4j2漏洞公开已经过去一段时间了,它所造成的严重影响已经不需要我们重复提及了。随着时间的推移,新的漏洞会不断出现,旧的漏洞会不断消失,而这个Log4j2中的RCE漏洞可能需要好几年的时间才能得到解决。所以,在接下来的一段时间里,这个漏洞依然是我们需要去关注的重点。

  本文收集和整理了几种漏洞检测方式和工具,以用于Log4j2漏洞检测和自查。

  1、dnslog手动验证方法

  首先在dnslog平台获取一个子域名,尝试构造payload,插入请求数据包。

 

  

  通过dnslog平台是否收到请求,初步判断目标环境是否存在漏洞。

  

  2、Log4j-scan

  一款用于查找log4j2漏洞的python脚本,支持url检测,支持HTTP请求头和POST数据参数进行模糊测试。

  github项目地址:

  3、Log4j2 burp被动扫描插件

  通过插件的方式,将lLog4j2漏洞检测能力集成到burp,从而提升安全测试人员的漏洞发现能力。

  github项目地址:

  Log4j2 burp被动扫描插件效果:

  

  4、AWVS扫描log4j2漏洞

  AWVS14最新版本支持Log4j2漏洞检测,支持批量扫描,漏洞扫描神器是不会让你失望的,准备更新武器库吧。

  

  5、制品级Log4j2漏洞检测工具

  本检测工具基于腾讯安全的binAuditor,支持 Jar/Ear/War包上传,一键上传即可获取到检测结果。

  检测地址:

  6、Log4j2 本地检测工具

  基于长亭牧云产品提取出来的Log4j2本地检测工具,可快速发现当前服务器存在风险的 log4j2 应用。

  Log4j2 漏洞检测工具地址:

  7、360 Log4j2检测工具包

  浏览器被动式扫描+本地检测工具,提供了一个完整的Log4j2漏洞检测方案,另外,工具包还包含了Log4j2补丁方案,如下图:

  

相关热词搜索:工业互联网安全 威胁检测

上一篇:乌克兰称对政府和金融网站的大规模攻击是心理战,企图挑拨离间并引起恐慌
下一篇:小心了,即将推出的Chrome、Firefox100可能存在严重风险

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。
分享到: 收藏