长亭百川云 - 文章详情

Log4shell中被忽视的威胁:BurpSuite插件

分类乐色桶

54

2024-07-13

log4shell可以说是这几天最火爆的漏洞,对于红队人员,算是过了个早年。不过此漏洞覆盖范围之广,也可能殃及你我。

这个漏洞已经爆出来好几天了,各大厂商都开始陆陆续续的修复,人们的目光仍然放在各种上层应用中,想着办法武器化。不过这个洞可能不只是蓝队人员的心头恨,也有可能反噬到隔岸观火的红队。

被忽视的威胁:BurpSuite 插件

BurpSuite大家都熟悉,其中插件开发最常用的语言就是Java了,其中笔者发现也有不少的插件使用到了存在缺陷的log4j2库,其中不乏一些高人气的库。我使用Github API编写了简易爬虫,去爬取了官方库和民间热门的库推荐项目:

https://github.com/PortSwigger•https://github.com/snoopysecurity/awesome-burp-extensions

我通过简单的搜索项目中代码是否包含log4j,从而判断库是否存在威胁。结果如下:

项目名

Stars

bit4woo/domain_hunter_pro

818

nccgroup/LoggerPlusPlus

437

denimgroup/threadfix

339

h3xstream/burp-retire-js

196

NetSPI/Wsdler

177

GoSecure/csp-auditor

130

nccgroup/CollaboratorPlusPlus

107

vulnersCom/burp-Dirbuster

67

bit4woo/ReSign

49

tls-attacker/TLS-Attacker-BurpExtension

36

h3xstream/burp-image-metadata

14

CyRadarInc/crypto-messages-handler

3

PortSwigger/burp-teamcity-integration

0

其中不乏PortSwigger官方插件,不少都已经在BAPP中,甚至还有高人气的Logger++,请各位玩家小心菊花,注意自查。结果肯定难免会有一些遗漏误报,国内有很多插件甚至没有开源过,所以各位千万要注意~

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2