local-log4j-vuln-scanner 使用教程
项目介绍
local-log4j-vuln-scanner
是一个用于检测本地环境中易受攻击的 Log4j 实例的简单工具。该工具能够检查 Java 软件安装中的 JAR 和 WAR 档案,并标记已知易受攻击的类文件。它支持递归扫描,能够检测嵌套的 WAR 文件。
项目快速启动
安装
首先,确保你已经安装了 Go 编译器。然后,克隆项目仓库并构建工具:
git clone https://github.com/hillu/local-log4j-vuln-scanner.git
cd local-log4j-vuln-scanner
go build -o local-log4j-vuln-scanner ./scanner
go build -o local-log4j-vuln-patcher ./patcher
使用
运行扫描器来检查你的应用程序:
./local-log4j-vuln-scanner /path/to/your/application
示例输出
Checking for vulnerabilities: CVE-2019-17571 CVE-2021-44228 CVE-2021-45105
examining /path/to/vuln/log4shell-vulnerable-app-0.0.1-SNAPSHOT.war
indicator for vulnerable component found in /path/to/vuln/Downloads/log4shell-vulnerable-app-0.0.1-SNAPSHOT.war::WEB-INF/lib/log4j-core-2.14.1.jar (org/apache/logging/log4j/core/net/JndiManager class): JndiManager class log4j 2.14.0-2.14.1 CVE-2021-44228 CVE-2021-45105
Scan finished
应用案例和最佳实践
应用案例
假设你有一个包含多个 Java 应用程序的服务器,你可以使用 local-log4j-vuln-scanner
来定期扫描这些应用程序,确保它们没有受到 Log4j 漏洞的影响。
最佳实践
- 定期扫描:建议每周或每月定期运行扫描器,以确保及时发现新出现的漏洞。
- 集成到 CI/CD 流程:将扫描器集成到你的 CI/CD 流程中,确保每次部署前都进行漏洞检查。
- 使用日志文件:使用
--log
选项将扫描结果记录到日志文件中,便于后续分析和审计。
典型生态项目
相关项目
- Log4j 漏洞修复工具:
local-log4j-vuln-patcher
是一个用于修复已知 Log4j 漏洞的工具,可以自动过滤掉易受攻击的类文件。 - Java 安全扫描工具:其他开源项目如
Dependency-Check
和OWASP ZAP
也提供了对 Java 应用程序的安全扫描功能,可以与local-log4j-vuln-scanner
结合使用,形成更全面的安全防护体系。
通过以上步骤和建议,你可以有效地使用 local-log4j-vuln-scanner
来保护你的 Java 应用程序免受 Log4j 漏洞的影响。