Log4j2 漏洞检测工具清单
距离Log4j2漏洞公开已经过去一个月了,它所造成的严重影响已经不需要我们重复提及了。随着时间的推移,新的漏洞会不断出现,旧的漏洞会不断消失,而这个Log4j2中的RCE漏洞可能需要好几年的时间才能得到解决。所以,在接下来的一段时间里,这个漏洞依然是我们需要去关注的重点。
本文收集和整理了几种漏洞检测方式和工具,以用于Log4j2漏洞检测和自查。
1、dnslog手动验证方法
首先在dnslog平台获取一个子域名,尝试构造payload,插入请求数据包。
${jndi:ldap://bypass.fzuqgl.ceye.io}
通过dnslog平台是否收到请求,初步判断目标环境是否存在漏洞。
2、Log4j-scan
一款用于查找log4j2漏洞的python脚本,支持url检测,支持HTTP请求头和POST数据参数进行模糊测试。
github项目地址:
https://github.com/fullhunt/log4j-scan
3、Log4j2 burp被动扫描插件
通过插件的方式,将lLog4j2漏洞检测能力集成到burp,从而提升安全测试人员的漏洞发现能力。
github项目地址:
https://github.com/f0ng/log4j2burpscanner
Log4j2 burp被动扫描插件效果:
4、AWVS扫描log4j2漏洞
AWVS14最新版本支持Log4j2漏洞检测,支持批量扫描,漏洞扫描神器是不会让你失望的,准备更新武器库吧。
5、制品级Log4j2漏洞检测工具
本检测工具基于腾讯安全的binAuditor,支持 Jar/Ear/War包上传,一键上传即可获取到检测结果。
检测地址:
https://bsca.ms.qq.com/
Jar包检测结果:
6、Log4j2 本地检测工具
基于长亭牧云产品提取出来的Log4j2本地检测工具,可快速发现当前服务器存在风险的 log4j2 应用。
Log4j2 漏洞检测工具地址:
https://log4j2-detector.chaitin.cn/
7、360 Log4j2检测工具包
浏览器被动式扫描+本地检测工具,提供了一个完整的Log4j2漏洞检测方案,另外,工具包还包含了Log4j2补丁方案,如下图:
Log4j2 漏洞检测工具清单相关推荐
- 北大软件“软件成分分析与漏洞检测工具”(CoBOT—SCA)正式发布
根据全球知名IT研究与顾问咨询公司Gartner统计,从2010年到2018年软件代码中采用开源框架或组件.第三方库的比例每年以30%的速度增长,大量的软件系统引入开源代码和第三方库,有的系统引用开源 ...
- 第14篇:Struts2框架下Log4j2漏洞检测方法分析与总结
Part1 前言 Log4j2漏洞出现有大半年的时间了,这个核弹级别的漏洞危害很大,但是这个漏洞检测起来却很麻烦,因为黑盒测试无法预判网站哪个应用功能在后台调用了log4j2记录日志功能.目前通用 ...
- 文件包含漏洞检测工具fimap
文件包含漏洞检测工具fimap 在Web应用中,文件包含漏洞(FI)是常见的漏洞.根据包含的文件不同,它分为本地文件包含漏洞(LFI)和远程文件包含漏洞(RFL).利用该漏洞,安全人员可以获取服务器的 ...
- Wapiti一款小巧的开源安全测试漏洞检测工具
Wapiti 是一套 OpenSource 的站点漏洞检测工具,比较特殊的是,它并不依赖特征数据库,也因此扫描的速度相当快,而探测的则是一些共通性问题,或是作者所宣称的未知漏洞.Wapiti 其实是一 ...
- python代码检查工具_基于Python3的漏洞检测工具 ( Python3 插件式框架 )
[TOC] Python3 漏洞检测工具 -- lance lance, a simple version of the vulnerability detection framework based ...
- python测验3_基于Python3的漏洞检测工具
原标题:基于Python3的漏洞检测工具 Python3 漏洞检测工具 -- lance lance, a simple version of the vulnerability detection ...
- Metasploit是一款开源的安全漏洞检测工具,
Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,适合于需要核实漏洞的安全专家,同时也适合于强大进攻能力的 ...
- 科恩二进制静态漏洞检测工具BinAbsInspector
科恩二进制文件自动化静态漏洞检测工具 腾讯科恩实验室前阵子出了一个二进制静态漏洞检测工具,专注于二进制漏洞扫描,先mark一下,后面写篇文章. 参考文献 "精"准把握静态分析|科恩 ...
- android漏洞检测工具,安卓“超级拒绝服务漏洞”分析及自动检测工具
本帖最后由 公益 于 2015-1-7 18:14 编辑 作者:360捉虫猎手研究员 0xr0ot & Xbalien "超级拒绝服务漏洞"是360安全研究人员近期发现的一 ...
- 为什么都在选择IAST作为安全漏洞检测工具
前言: 1 最近SAP 爆出的软件供应链安全风险事件 其中的五个高危漏洞如下,均是编码安全漏洞: lCVE-2023-25616代码注入漏洞 lCVE-2023-23857 隐私数据泄露漏洞 lC ...
最新文章
- 黄埔大学,选址定了!
- 【业界】Facebook的基础AI算法是如何驱动社交网络的发展?
- html中实现th标签添加分页,html – 如何在Angular 4中为表添加分页?
- TypeScript方法的定义
- 让JavaScript像C#一样支持Region
- 图文结合,白话 Go 的垃圾回收原理
- 【机器学习】对于特征离散化,特征交叉,连续特征离散化非常经典的解释
- NET问答: 如何用 C# 计算相对时间 ?
- java 轻量级文件数据库_Java:如何创建轻量级数据库微服务
- linux losetup命令,losetup命令_Linux losetup 命令用法详解:设定与控制循环(loop)设备...
- python实战===生成随机数
- Linux中SDIO命令,Linux MMC/SD/SDIO体系结构
- python可能导致异常的代码_Python程序可能导致文件系统错误?
- 设计主导型思维在商业领域的崛起,将对创意职业产生积极的溢出效应
- 《互联网周刊》:华为终端的未来之路
- LTE Attach
- Windows系统下上架iOSAPP
- HTML+CSS基础知识简单版
- mac mtu测试_从Mac OS X的命令行设置MTU大小
- 群晖 NAS + frp 最新端口