美国发布 Apache Log4j 漏洞扫描器,已在 GitHub 开源

最新推荐文章于 2023-02-28 21:05:43 发布
最新推荐文章于 2023-02-28 21:05:43 发布
阅读量724 收藏
点赞数
文章标签: 开源
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/osfront/article/details/122184887
版权

来源:cnBeta

在 Log4shell 漏洞曝光之后,美国网络安全与基础设施局(CISA)一直在密切关注事态发展。除了敦促联邦机构在圣诞假期之前完成修补,国防部下属的该机构还发起了 #HackDHS 漏洞赏金计划。最新消息是,CISA 又推出了一款名叫“log4j-scanner”的漏洞扫描器,以帮助各机构筛查易受攻击的 web 服务。

截图(来自:GitHub)

据悉,作为 CISA 快速行动小组与开源社区团队的一个衍生项目,log4j-scanner 能够对易受两个 Apache 远程代码执行漏洞影响的 Web 服务进行识别(分别是 CVE-2021-44228 和 CVE-2021-45046)。

这套扫描解决方案建立在类似的工具之上,包括由网络安全公司 FullHunt 开发的针对 CVE-2021-44228 漏洞的自动扫描框架。

有需要的安全团队,可借助该工具对网络主机进行扫描,以查找 Log4j RCE 暴露和让 Web 应用程序绕过防火墙(WAF)的潜在威胁。

CISA 在 log4j-scanner 项目主页上介绍了如下功能:

● 支持统一资源定位符(URL)列表。

● 可对 60 多个 HTTP 请求标头展开模糊测试(不仅限于 3-4 个)。

● 可对 HTTP POST 数据参数开展模糊测试。

● 可对 JSON 数据参数开展模糊测试。

● 支持用于漏洞发现和验证的 DNS 回调。

● 可筛查有效载荷的防火墙(WAF)绕过。

开源前哨 日常分享热门、有趣和实用的开源项目。参与维护 10万+ Star 的开源技术资源库,包括:Python、Java、C/C++、Go、JS、CSS、Node.js、PHP、.NET 等。

开源前哨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
apahce log4j-api
12-10
基于rc2版本构建打包,源码地址https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
logging-log4j2:Apache Log4j 2是对Log4j的升级,相对于其前身Log4j 1.x进行了重大改进,并提供了Logback中可用的许多改进,同时修复了Logback体系结构中的一些固有问题。
01-30
Apache Log4j 2是Log4j的升级版,对Log4j的前身Log4j 1.x进行了重大改进,并提供了Logback中可用的许多改进,同时解决了Logback体系结构中的一些固有问题。 在Github上拉取请求 通过发送拉取请求,您授予Apache Software Foundation足够的权利,以使用和释放Apache许可下提交的作品。 您向Apache Software Foundation授予了相同的权利(版权许可,专利许可等),就好像您已经签署了“贡献者许可协议”一样。 对于被认为是不重要的贡献,将要求您实际签署“ 。 用法 用户应参考Log4j网站上的 ,以获取有关如何使用所选构建工具将Log4j包括到他们的项目中的说明。 Logger API的基本用法: package com.example ; import org.apache.logging.log4j.Logger ; import org.apache.logging.log4j.LogManager ; public class Example { private static final
Apache Log4j2 - JNDI RCE漏洞攻击保姆级教程(仅供测试请勿攻击他人)
搬山境KL攻城狮的修炼手册
12-12 9133
近日,Java日志组件Log4j2爆出严重0 day漏洞,吓得我赶紧研究了一下,不看不知道,这玩意的严重程度极高,达到10分,且易于利用。
Apache Log4j 远程代码执行漏洞批量检测工具
保持微笑的博客
01-10 2879
漏洞描述 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 影响版本 Apache Log4j 2.x < 2.15.0-rc2 影响范围 含有该漏洞Log4j影响到超过 6000个中间件或应用,目前已知的可能受影响的应用及组件包括但不限于如下清单中所列出的: Sp...
logging-log4j2, Apache日志记录Log4J2镜像.zip
10-10
logging-log4j2, Apache日志记录Log4J2镜像 Apache Log4J 2Apache是对 Log4J的升级,它提供了比它的前辈 Log4J 1. x,的显著改进,并提供了许多改进,同时解决了soa架构中一些固有问题。 在Github上请求请求通过发送请求请求,你可
Log4Shell检测方法综述
qzt961003的博客
06-02 561
自从Log4Shell远程代码执行漏洞(RCE)的公共利用在2021年12月10日被发现以来,全世界的安全团队一直在争先恐后的了解其环境风险。这种争夺的一部分是为了确定哪些工具最适合帮助检测漏洞,哪些方法最有效,哪些还有缺陷?在这篇短文中,我们将描述Log4Shell漏洞检测的一些方法,并讨论每种方法的优缺点。SCA工具主要关注与第三方库相关的风险。因此,它们非常适合于识别Java应用程序和其他Java代码库中存在的易受攻击的log4j核心组件。
如何使用ApacheTomcatScanner扫描Apache Tomcat服务器漏洞
顶峰
02-28 2279
1、支持使用多线程Worker搜索Apache Tomcat服务器;2、支持扫描多个目标:支持接收一个Windows域中的目标计算机列表,支持从文件按行读取目标,支持使用–t/–target选项读取单个目标(IP/DNS/CIDR);3、支持自定义即设置端口列表;4、支持测试/manager/html访问和默认凭证;5、支持使用–list-cves选项查看每个版本的CVE漏洞信息;1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。
Apache Log4j2 RCE漏洞利用反弹shell合集
热门推荐
yy
03-10 1万+
Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。如:Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
Apache_Log4j2_RCE漏洞复现
Blue的博客
12-14 4991
漏洞描述: Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。如:Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。 影响范围: Apache Log4j 2.x < 2.15.0-rc2 漏洞复现 1.环境搭建
Apache log4j2 RCE(CVE-2021-44228)
不曾扬帆,何以至远方
07-16 452
Apache log4j2 RCE、CVE-2021-44228
apche shiro漏洞检测和利用工具
07-30
Shiro命令执行工具 V1.0 提供默认Key的查询 摘取xray高级版 xray利用链 100+个KEY已注释!!!! 声明:本工具仅供学习使用,禁止任何用于非法途径,如果使用该工具参与非法活动与本人无任何关系,本人不承担任何责任!
apache stucts 2远程命令执行漏洞 (CVE-2021-31805) poc检测工具
04-21
检测一个url命令为 python3 CVE-2022-22954-POC.py -u http://test.com 检测多个url命令为 python3 CVE-2022-22954-POC.py -f file.txt(把url按一行一个保存到file.txt中) 结果有可能如下
Apache Log4j2 远程代码执行漏洞检测工具
12-15
Apache Log4j2 远程代码执行漏洞检测工具,包含windows版和linux版。图形化 Apache Log4j2检测工具
struts2漏洞检查工具201708
08-24
struts2漏洞检查工具201708,转自i春秋
Struts2漏洞检查工具2018版.rar
08-30
可以扫描Strust2远程执行漏洞 亲测可以使用
log4j2_detect_gui.zip
12-14
Log4j漏洞检测工具,Log4j2_detect工具使用说明,使用详情:https://github.com/webraybtl/Log4j
log4j2-log4j-2.15.0-rc2.zip
12-12
log4j2最新发布rc2版本,Source code (tar.gz)和zip,比GitHub下载快 。
Log4Shell是什么?从Log4j漏洞说起
Trinity_Techologies的博客
01-04 4195
开源Apache日志记录库Log4j中已发现了一个影响使用Java的设备和应用程序的新漏洞。该漏洞被称为Log4Shell,是目前互联网上最重大的安全漏洞,其严重程度为10分(满分10分),其影响有愈演愈烈之势。幸运的是,Perforce静态分析和SAST工具——Helix QAC和Klocwork——可以提供帮助。 在这里,我们将解释Log4j漏洞是什么,提供一个Log4j示例,并解释像Klocwork这样的SAST工具如何帮助预防和检测如Log4Shell这样的漏洞
Apache Log4j2 RCE(CVE-2021-44228)
weixin_60329395的博客
11-12 1139
Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将**用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的数据请求包,最终触发远程代码执行(RCE)
log4j漏洞复现vulhub靶场
最新发布
08-14
要在 Vulhub 靶场中复现 log4j 漏洞,你可以按照以下步骤进行操作: 1. 安装 Docker 和 Docker Compose:确保你的系统已经安装了 Docker 和 Docker Compose 工具。 2. 克隆 Vulhub 仓库:在命令行中执行以下命令,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值