Log4shell
Am 9. Dezember 2021 veröffentlichte Apache eine schwerwiegende Sicherheitslücke namens Log4shell (und andere Log4j-bezogene Sicherheitslücken).
Download
Wie man seine Dienste schnell scannt, grundsätzlich mit log4j-scan von fullhunt, aber unter Verwendung von cisagov:
git clone https://github.com/cisagov/log4j-scanner.git cd log4-scanner/
Anforderungen
- python
- python-requests
- python-termcolor
- python-pycryptodome
URL-Liste erstellen
Am einfachsten ist es, eine Liste aller URLs zu erstellen, die du überprüfen möchtest:
nano urls.txt
https://techsaviours.org https://meet.techsaviours.org https://searx.techsaviours.org
Überprüfe deine Urls
python log4j-scan.py -l urls.txt --waf-bypass --run-all-tests
oder nur eine Url
python log4j-scan.py -u https://techsaviours.org --waf-bypass --run-all-tests