美国发布 Log4j 漏洞扫描器,已在 GitHub 开源

新闻
最新消息是,CISA 又推出了一款名叫“log4j-scanner”的漏洞扫描器,以帮助各机构筛查易受攻击的 web 服务。

  [[442293]]

在 Log4shell 漏洞曝光之后,美国网络安全与基础设施局(CISA)一直在密切关注事态发展。除了敦促联邦机构在圣诞假期之前完成修补,国防部下属的该机构还发起了 #HackDHS 漏洞赏金计划。最新消息是,CISA 又推出了一款名叫“log4j-scanner”的漏洞扫描器,以帮助各机构筛查易受攻击的 web 服务。

截图(来自:GitHub)

据悉,作为 CISA 快速行动小组与开源社区团队的一个衍生项目,log4j-scanner 能够对易受两个 Apache 远程代码执行漏洞影响的 Web 服务进行识别(分别是 CVE-2021-44228 和 CVE-2021-45046)。

这套扫描解决方案建立在类似的工具之上,包括由网络安全公司 FullHunt 开发的针对 CVE-2021-44228 漏洞的自动扫描框架。

有需要的安全团队,可借助该工具对网络主机进行扫描,以查找 Log4j RCE 暴露和让 Web 应用程序绕过防火墙(WAF)的潜在威胁。

CISA 在 log4j-scanner 项目主页上介绍了如下功能:

● 支持统一资源定位符(URL)列表。

● 可对 60 多个 HTTP 请求标头展开模糊测试(不仅限于 3-4 个)。

● 可对 HTTP POST 数据参数开展模糊测试。

● 可对 JSON 数据参数开展模糊测试。

● 支持用于漏洞发现和验证的 DNS 回调。

● 可筛查有效载荷的防火墙(WAF)绕过。

 

 

责任编辑:张燕妮 来源: 开源前哨
相关推荐

2022-01-02 07:07:55

CISAApache Log4漏洞

2022-03-25 13:42:15

Log4j漏洞网络安全

2021-12-14 23:44:26

漏洞Log4j项目

2021-12-27 11:15:01

CISA漏洞Log4j

2021-12-23 19:20:43

漏洞赏金计划漏洞log4j

2021-12-24 16:13:44

Log4J漏洞赏金DHS

2021-12-23 09:47:36

Log4jRCE漏洞DoS漏洞

2013-04-25 13:31:01

漏洞扫描器Nessus 5.2

2022-03-30 11:29:53

漏洞补丁Spring

2021-12-26 07:26:01

漏洞赏金计划Log4j漏洞

2022-01-24 10:02:53

漏洞微软网络攻击

2021-12-13 01:49:34

漏洞Log4j代码

2021-12-23 11:03:25

Log4j 漏洞漏洞

2021-12-24 09:52:31

Traefik Log4J 漏洞

2021-12-11 19:04:38

漏洞

2023-11-10 10:08:23

2022-01-06 09:52:39

Log4j漏洞攻击

2021-12-21 10:03:24

Log4j漏洞网络攻击漏洞

2022-01-14 09:57:13

Log4j漏洞开源项目

2015-09-28 13:45:17

安全扫描安全扫描器Gryffin
点赞
收藏

51CTO技术栈公众号