Log4Shell检测方法综述

最新推荐文章于 2023-03-22 10:04:47 发布
最新推荐文章于 2023-03-22 10:04:47 发布
阅读量562 收藏
点赞数
分类专栏: DevSecOps分享 SaaS 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qzt961003/article/details/125097409
版权

自从Log4Shell远程代码执行漏洞(RCE)的公共利用在2021年12月10日被发现以来,全世界的安全团队一直在争先恐后的了解其环境风险。这种争夺的一部分是为了确定哪些工具最适合帮助检测漏洞,哪些方法最有效,哪些还有缺陷?在这篇短文中,我们将描述Log4Shell漏洞检测的一些方法,并讨论每种方法的优缺点。

  • Software Composition Analysis(SCA)

SCA工具主要关注与第三方库相关的风险。因此,它们非常适合于识别Java应用程序和其他Java代码库中存在的易受攻击的log4j核心组件。重要的是,SCA工具可以精确定位并报告正在使用的确切版本。

任何仅仅因为“log4j”出现在文件名中就报告Log4Shell存在的工具都会导致误报和时间浪费。例如,“log4j-api”和“log4j-web”库就不易受Log4Shell的攻击。

确保您的SCA工具分析了完整的代码库,包括可依赖的传递项。仅仅检查基于maven的代码存储库中的POM文件是不够的,POM只引用开发人员包含的直接依赖项。按照目前的软件构建方式,当构建运行时,所有未在POM中引用的必须组件(如可传递依赖项)都会被自动拉入,以构建适合部署的完整应用程序。

泛联新安的BinSearch提供了一个健壮的解决方案。BinSearch是一款基于逆向分析、分布式计算、大数据与机器学习的二进制代码大规模同源分析平台,具有自主知识产权。它能够精准分析识别代码组成成分和引用第三方组件、了解引用开源代码许可合规性、检测代码安全漏洞、分析植入恶意代码及溯源等,支持10万余条漏洞能力,涵盖CVE、NVD、CNNVD漏洞信息,能有效的检测出Log4Shell等漏洞。

  • Static Application Security Testing(SAST)

SAST的主要目的是识别自编代码中的安全缺陷,开发人员编写这些代码是为了构建应用程序最基础的功能。一些人质疑为什么几年前的SAST工具没有报告Log4Shell漏洞,这是因为开源库通常不使用SAST进行扫描。

  • Dynamic Application Security Testing(DAST)

DAST是一种快速而简单的扫描面向公共web应用程序的方法,特别是针对那些未经身份验证的应用程序。尽管DAST扫描可以告诉您是否发现了漏洞,但它无法指出代码库中的哪个位置可以被修复。为了保证你的web应用程序不会受到Log4Shell的攻击,不仅要运行未经身份验证的扫描,还要对web应用程序支持的每个用户角色进行身份验证扫描,这需要很大的工作量。

另外,请记住,对生产环境进行经过身份验证的DAST扫描可能会有潜在风险,因为扫描程序可以访问与用户相同的功能(俗称黑盒测试)。如果在产品网络应用程序上运行验证扫描,那么生产数据可能会被扫描程序修改或删除。在生产环境中使用高权限用户或管理员运行经过身份验证的扫描特别危险,建议不要这样做。

由于Log4Shell的特性,DAST工具支持OOB检测机制,比如DNS传感器,这可能最适合用于查找易受攻击的web应用程序。例如Burp Collaborator和Qualys Periscope。

如果您的DAST工具确实在扫描web应用程序中发现了Log4Shell漏洞,可以考虑使用开源的Log4Shell工具进行快速修复,这样至少可以防止被不法分子利用。这个工具利用Log4Shell漏洞本身,在服务器上执行一个有效负载,禁用log4j设置,从而允许开发进行。(建议在库可以更新为安全版本之前,只将该工具的瞬态模式用作临时措施。)

  • Source Code Management(SCM)

一些源代码管理平台提供对它们所托管的软件项目的监控,并且当发现已知的易受攻击的组件时可以发送警报。GitHub的Dependabot就是一个例子,它在某些情况下可以提供帮助,还可以使您的开发团队意识到log4j的一个易受攻击的版本被作为直接依赖项引用。它们的不足之处在于,这些工具实际上并没有构建项目,而且不能看到基于maven的Java项目的可传递依赖关系。

  • 网络、基础设施扫描

如果您的组织已经有了解决方案,那么使用基础设施扫描查找易受攻击的log4j组件是可行的。否则,它将需要大量的努力在您的云和前置网络上扫描和运行。扫描Log4Shell的基础设施还要求扫描器能够登陆到希望扫描的机器上的操作系统。

此外,虽然它们可以有效的识别操作系统级别的漏洞和错误配置,但基础设施扫描解决方案通常不被设计为“能感知的应用程序”。换句话说,他们可能不理解java web应用程序的结构,也不能进入文件系统上已部署的应用程序的WAR中检查log4j是否存在。

  • 结语

千万不要搞错了,开源库将继续在所有行业中使用。虽然使用开源库现在已经是软件开发中公认的实践,但是从安全的角度来看,采用它们仍然面临巨大的挑战。上周,它是一个Java中的零日漏洞,但是明天,它可能就会是一个JavaScript库、Python或者其他编程语言。

使用过时且易受攻击的开源库是一个常见的问题,特别是在Java生态系统中。据不完全统计,在开发者无法跟上应用程序中所使用的最安全的库版本的语言列表中,Java排在Ruby和JavaScript之后,位列第三。而且Java中近65%的开源依赖项在首次使用后从未进行过更新。

综上所述,在漏洞检测方面,当开源库中出现新的漏洞时,SCA工具应该是最有效的选择。SCA工具适用于准确的识别和维护应用程序组合中的开源组件清单,并为理解应用于特定版本的漏洞提供最好的释义。

部分资料来源:

1. https://www.veracode.com/blog/managing-appsec/review-log4shell-detection-methods

GitMore
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SHELL日志功能(log4sh)
10-13
强大的shell日志记录功能,可以自定义格式,自定义级别,简单易用!
asp.net log4net的使用方法
01-20
刚开始接触asp.net,关于日志记录怎么能少,因此简单记录一下log4net的配置和使用,以防以后忘记。         首先引入log4net.dll,关于这个文件自己百度下载下。          然后配置一下有关配置,在web.config中加入在configuration节点下 <configSections> <section name=log4net type=log4net.Config.Log4NetConfigurationSectionHandler,> </configSections> <log4net> <appender n
log4j2_detect_gui.zip
12-14
Log4j漏洞检测工具,Log4j2_detect工具使用说明,使用详情:https://github.com/webraybtl/Log4j
log4net配置和使用方法分享
01-01
1.Global.asax文件 代码如下:void Application_Start(object sender, EventArgs e) {//在应用程序启动时运行的代码log4net.Config.XmlConfigurator.ConfigureAndWatch(new System.IO.FileInfo(Sxmobi.FileHelper.GetMapPath(“~\\log4net.config”)));} 2.log4net.config 文件 代码如下:<?xml version=”1.0″ encoding=”utf-8″ ?><configuration><config
log4j的Appenders配置方法
08-30
下面小编就为大家带来一篇log4j的Appenders配置方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
美国发布 Apache Log4j 漏洞扫描器,已在 GitHub 开源
osfront的博客
12-28 726
来源:cnBeta 在 Log4shell 漏洞曝光之后,美国网络安全与基础设施局(CISA)一直在密切关注事态发展。除了敦促联邦机构在圣诞假期之前完成修补,国防部下属的该机构还发起了 #HackDHS 漏洞赏金计划。最新消息是,CISA 又推出了一款名叫“log4j-scanner”的漏洞扫描器,以帮助各机构筛查易受攻击的 web 服务。 据悉,作为 CISA 快速行动小组与开源社区团队的一个衍生项目,log4j-scanner 能够对易受两个 Apache 远程代码执行漏洞影响的 Web 服务进行.
〖工具〗log4Shell核弹级漏洞复现&Ladon批量检测
K8哥哥
12-18 4612
title: 〖工具〗log4Shell核弹级漏洞复现&Ladon批量检测 comments: true toc: true categories: exp tags: Log4j2 abbrlink: log4shell date: 2021-12-16 19:24:00 img: https://img-blog.csdnimg.cn/20210117163103552.jpg 漏洞简介 Apache Log4j2是一款优秀的Java日志框架。近日,漏洞银行安全团队注意到了Ap.
Log4Shell是什么?从Log4j漏洞说起
Trinity_Techologies的博客
01-04 4201
在开源Apache日志记录库Log4j中已发现了一个影响使用Java的设备和应用程序的新漏洞。该漏洞被称为Log4Shell,是目前互联网上最重大的安全漏洞,其严重程度为10分(满分10分),其影响有愈演愈烈之势。幸运的是,Perforce静态分析和SAST工具——Helix QAC和Klocwork——可以提供帮助。 在这里,我们将解释Log4j漏洞是什么,提供一个Log4j示例,并解释像Klocwork这样的SAST工具如何帮助预防和检测Log4Shell这样的漏洞。
log4Shell 漏洞到底是个啥?
weixin_48923393的博客
12-25 1247
文 |李晓飞来源:Python 技术「ID: pythonall」2020 年的12月,势必成为各个互联网公司年度最深刻的记忆。在 12 月初,爆出了一个核弹级的系统漏洞,导致众多互联网...
利用Vulhub复现log4j漏洞CVE-2021-44228
plant1234的博客
10-02 736
这里的命令是想要靶机运行的命令,-A后放的是发出攻击的电脑的ip,也是存放-C后“命令”的ip地址。可以利用http://www.dnslog.cn/ 申请一个dns域名进行检测。接下来要实现反弹shell,可以用命令。
如何在项目中使用log4.js的方法步骤
12-02
pm2中自带的日志内容是不能满足日常的需求的,因此需要在项目中加上日志管理,这里研究了下log4的使用方法,效果挺好的,想要查看的都可以找到,记录下简单的使用步骤 log4的配合 // config.js let path = require('path'); // 日志根目录 let baseLogPath = path.resolve(__dirname, '../../../logs'); // 请求日志目录 let reqPath = '/request'; // 请求日志文件名 let reqFileName = 'request'; // 请求日志输出完整路径 let req
Log4Shell 过气了?攻击面仍大量存在
wangluo12138的博客
03-22 117
Log4Shell已经成为“过气网红”?
【BurpSuite】插件开发学习之Log4shell
HWHXY的博客
08-20 1133
最近有些工作要接触到安卓开发,正好老本行Burpsuite中也有java开发的地方想学习,也正好可以看看插件的原理,因此有了下面的文章。
什么是Log4ShellLog4j漏洞解读
weixin_49715102的博客
01-04 953
一个影响使用Java的设备和应用程序的新漏洞已经在开源Apache日志库Log4j中被发现。该漏洞被称为Log4Shell,是目前互联网上最重要的安全漏洞,其严重程度为10分。幸运的是,Perforce静态分析和SAST工具——Helix QAC和Klocwork——可以提供帮助。 本文解释了什么是Log4j漏洞,提供了一个Log4j的例子,并解释了像Klocwork这样的SAST工具是如何帮助预防和检测漏洞的,比如Log4Shell。 什么是Log4j? Log4j是一个Java库,用于记录企业应用程.
Apache Log4j2 RCE漏洞利用反弹shell合集
yy
03-10 1万+
Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。如:Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
漏洞预警:Apache Log4j RCE漏洞
热门推荐
weixin_43526443的博客
12-13 7万+
目录 Part1 漏洞描述 Part2 危害等级 Part3 漏洞影响 Part4 漏洞分析及验证 源码分析 Part5 漏洞检测 自我检测 攻击检测 产品检测 Part6 漏洞修复 Part1 漏洞描述 Apache Log4j是Apache的一个开源项目,Apache log4j2是Log4j的升级版本,我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。 近日发现Apache Log4j存在任意代码执行
Apache Log4j2 - JNDI RCE漏洞攻击保姆级教程(仅供测试请勿攻击他人)
搬山境KL攻城狮的修炼手册
12-12 9166
近日,Java日志组件Log4j2爆出严重0 day漏洞,吓得我赶紧研究了一下,不看不知道,这玩意的严重程度极高,达到10分,且易于利用。
Apache_Log4j2_RCE漏洞复现
Blue的博客
12-14 4999
漏洞描述: Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。如:Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。 影响范围: Apache Log4j 2.x < 2.15.0-rc2 漏洞复现 1.环境搭建
log4j漏洞原理分析&复现&检测&复盘
qq_43665434的博客
08-22 2743
log4j漏洞原理分析&复现&检测&复盘
log4j 反弹shell
最新发布
08-19
log4j 反弹 shell 是一种利用 Apache Log4j 库中的漏洞来执行远程代码的技术。在漏洞被利用的情况下,攻击者可以通过构造恶意的日志事件来触发远程代码执行,并使用该漏洞来实现反向 shell 或远程命令执行。这个漏洞被标记为 CVE-2021-44228,并且影响 Apache Log4j 版本 2.x。 由于该漏洞的严重性,建议尽快升级到最新的 Apache Log4j 版本(目前是 2.17.0)或应用相应的补丁来修复漏洞。 请注意,利用漏洞进行非法活动是违法的,并且可能导致严重的法律后果。在进行任何安全测试时,请确保遵守适用的法律和道德准则,并获得相关系统所有者的明确授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GitMore

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值