2024年网络安全最全【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程,网络安全教程

最新推荐文章于 2024-05-11 04:48:07 发布
最新推荐文章于 2024-05-11 04:48:07 发布
阅读量1k 收藏 17
点赞数 18
分类专栏: 程序员 文章标签: 安全 web安全 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84263282/article/details/138511000
版权

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

| 风险等级 | 严重 |

| 公开状态 | 已发现 |

| 在野利用 | 已发现 |

| 漏洞描述 | Apache Log4j2 是一款优秀的 Java 日志框架。该日志框架被大量用于业务系统开发,用来记录日志信息。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 |

| 参考链接 | https://github.com/apache/logging-log4j2 |

漏洞复现

目前漏洞rce-exp已网上公开

file

dnslog回显测试

file

易受攻击示例代码

import org.apache.log4j.Logger;

import java.io.*;

public class ExampleHandler implements HttpHandler {

static Logger log = Logger.getLogger(log4jExample.class.getName());

public void handle(HttpExchange he) throws IOException {

String userAgent = he.getRequestHeader(“user-agent”);

log.info(“Request User Agent:” + userAgent);

String response = "

Hello There, " + userAgent + “!

”;

he.sendResponseHeaders(200, response.length());

OutputStream os = he.getResponseBody();

os.write(response.getBytes());

os.close();

}

}

影响范围

Apache Log4j 2.x <= 2.14.1

紧急缓解措施

1、调整JVM参数 -Dlog4j2.formatMsgNoLookups=true

如果是SpringBoot微服务项目,在运行参数中加上

file

如果是传统Web项目,以Tomcat为例,在文件/bin/catalina.sh的前面,增加如下设置:

JAVA_OPTS=’-Dlog4j2.formatMsgNoLookups=true‘

2、修改配置 log4j2.formatMsgNoLookups=True

file

3、修改系统环境变量

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true,进入Linux命令行,输入 vi /etc/profile,在最后加入

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84263282
关注
  • 18
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MP3Stego的使用方法
10-08
MP3Stego的使用方法
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
然而,2021 底,Log4j 发现了一个严重的安全漏洞,被称为 CVE-2021-44228(也称为 Log4Shell),这使得攻击者可以通过在日志记录中注入恶意代码来远程执行任意代码,从而对受影响的系统造成严重威胁。 此漏洞源于...
30 款 IDEA 插件
一只没有脚的鸟
06-08 2万+
介绍30款idea插件
2024最全紧急Apache Log4j任意代码执行漏洞安全风险升级修复教程,小白看完都学会了
最新发布
2401_84520026的博客
05-11 780
漏洞描述| 事件 | 描述 || — | — || 漏洞名称 | Apache Log4j 远程代码执行漏洞 || 漏洞类型 | 代码执行 || 风险等级 | 严重 || 公开状态 | 已发现 || 在野利用 | 已发现 || 漏洞描述 | Apache Log4j2 是一款优秀的 Java 日志框架。该日志框架被大量用于业务系统开发,用来记录日志信息。
【音频隐写提取】MP3Stego下载、命令、使用方法
05-10 1万+
【音频隐写提取】MP3Stego
2024最新版】超详细Metasploit安装保姆级教程,Wireshark抓包(网络分析),收藏这一篇就够了
VN520的博客
10-31 490
Metasploit是一个渗透测试框架,可以帮助您发现和利用漏洞。Metasploit还为您提供了一个开发平台,您可以编写自己的安全工具或利用代码。今天,我将指导您了解如何使用Metasploit的基础知识:如何安装Metasploit,使用框架以及利用漏洞
Windows系统 cleanmgr命令详解,Windows命令行清理磁盘
wangyuxiang946的博客
11-11 4万+
「作者主页」:士别三日wyx 第一步、打开cmd 按下 win 键,输入 cmd 后回车,打开「命令提示符」 第二步、查看系统版本 在打开的cmd窗口中,输入 cleanmgr 后回车,即可在新弹出的窗口使用磁盘清理功能,选择需要清理的驱动器即可开始清理。 第三步、认识 cleanmgr clean 是清洁的意思 mgr 是经理的意思 cleanmgr 译为清洁经理,用来清除计算机磁盘中不必要的文件。 Windows系统的命令本质上都是「可执行程序」,默认存放在 C:\Windows\.
Apache Log4j2 远程代码执行漏洞检测工具
12-15
然而,在202112月初,一个严重的安全漏洞(CVE-2021-44228)被公开,这个漏洞被称为"Log4Shell",允许攻击者通过注入恶意的JNDI(Java Naming and Directory Interface)链接来执行远程代码,对受影响的系统造成...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
apache-log4j-2.16.0-bin.rar
12-17
总之,Apache Log4j2的这个远程代码执行漏洞是一个严重的安全问题,及时升级到2.16.0或更高版本是保护系统免受攻击的关键。企业应当制定并实施有效的安全策略,包括定期更新软件组件,监控系统日志以检测异常行为,...
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
Log4J2远程代码执行漏洞修复20211210.rar
12-13
总结,Log4J2的远程代码执行漏洞是一个高风险安全问题,需要立即采取行动进行修复。通过升级到2.15.0或更高版本并进行相应的配置更改,可以有效地消除这个威胁。同时,持续的代码审查和日志监控是预防类似问题的...
Apache Log4j2紧急缓解措施.docx
12-16
Apache Log4j2 是一个流行的 Java 日志记录工具,但最近出现了严重的安全漏洞Apache Log4j2 紧急缓解措施旨在帮助开发者尽快修复漏洞,避免攻击者的攻击。 一、修改启动脚本 在启动 Java 应用程序时,添加一...
Apache Log4j 2 源代码apache-log4j-2.17.1-src.tar.gz)
01-07
Apache Log4j 2 源代码apache-log4j-2.17.1-src.tar.gz) 是对 Log4j升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复安全...
IDEA常用插件(30个)
大道至简
06-20 1万+
Database Navigator:提供了数据库连接和管理功能,可以直接在 IDE 中进行 SQL 开发。Docker Integration:提供了 Docker 容器的支持,可以在 IDE 中管理和调试容器。.ignore:提供了许多文件和目录忽略模板,可以帮助你在项目中快速创建 .gitignore 文件。CheckStyle-IDEA:提供了 CheckStyle 的支持,可以帮助你保持代码质量。SonarLint:提供了 SonarLint 的支持,可以帮助你在代码中发现潜在的问题。
IDEA常用插件Top18
热门推荐
何哥的博客
07-16 10万+
前言:精心推荐给大家的一些日常开发中最常用的效率插件,真心祝愿各位程序猿们开发效率提高,永不加班! 一、Alibaba Java Coding Guidelines代码规范检查工具 Alibaba Java Coding Guidelines ,阿里开发的一款强大的代码规范检查工具,可以让自己写出易读性更高的代码,可以让团队代码风格尽量统一易于维护。 前面博客已经介绍过了,不赘述了:Al...
nessus的安装以及使用(带详细步骤)
nex1less的博客
03-11 5万+
0x01 实验原理: 利用漏洞扫描器能够自动应用漏洞扫描原理,对目标主机安全漏洞进行检测,附带识别主机漏洞的特征库的功能,从而完成网络中大量主机的漏洞识别工作。(有相应的缺点) 0x02 实验拓扑: 0x03 实验步骤: 一、下载安装漏洞扫描器nessus 1.下载 Nessus 在官方网站下载对应的 Nessus 版本:http://www.tenable....
2022信息安全漏洞通报1月.pdf
05-11
2022信息安全漏洞通报1月.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值