2024年网络安全最全【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程,网络安全教程

于 2024-05-06 22:39:28 发布
阅读量1k 收藏 17
点赞数 18
文章标签: 安全 web安全 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84263282/article/details/138511000
版权

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

| 风险等级 | 严重 |

| 公开状态 | 已发现 |

| 在野利用 | 已发现 |

| 漏洞描述 | Apache Log4j2 是一款优秀的 Java 日志框架。该日志框架被大量用于业务系统开发,用来记录日志信息。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 |

| 参考链接 | https://github.com/apache/logging-log4j2 |

漏洞复现

目前漏洞rce-exp已网上公开

file

dnslog回显测试

file

易受攻击示例代码

import org.apache.log4j.Logger;

import java.io.*;

public class ExampleHandler implements HttpHandler {

static Logger log = Logger.getLogger(log4jExample.class.getName());

public void handle(HttpExchange he) throws IOException {

String userAgent = he.getRequestHeader(“user-agent”);

log.info(“Request User Agent:” + userAgent);

String response = "

Hello There, " + userAgent + “!

”;

he.sendResponseHeaders(200, response.length());

OutputStream os = he.getResponseBody();

os.write(response.getBytes());

os.close();

}

}

影响范围

Apache Log4j 2.x <= 2.14.1

紧急缓解措施

1、调整JVM参数 -Dlog4j2.formatMsgNoLookups=true

如果是SpringBoot微服务项目,在运行参数中加上

file

如果是传统Web项目,以Tomcat为例,在文件/bin/catalina.sh的前面,增加如下设置:

JAVA_OPTS=’-Dlog4j2.formatMsgNoLookups=true‘

2、修改配置 log4j2.formatMsgNoLookups=True

file

3、修改系统环境变量

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true,进入Linux命令行,输入 vi /etc/profile,在最后加入

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84263282
关注
  • 18
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
然而,2021 底,Log4j 发现了一个严重的安全漏洞,被称为 CVE-2021-44228(也称为 Log4Shell),这使得攻击者可以通过在日志记录中注入恶意代码来远程执行任意代码,从而对受影响的系统造成严重威胁。 此漏洞源于...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
然而,在202112月初,一个严重的安全漏洞(CVE-2021-44228)被公开,这个漏洞被称为"Log4Shell",允许攻击者通过注入恶意的JNDI(Java Naming and Directory Interface)链接来执行远程代码,对受影响的系统造成...
IDEA常用插件(30个)
大道至简
06-20 1万+
Database Navigator:提供了数据库连接和管理功能,可以直接在 IDE 中进行 SQL 开发。Docker Integration:提供了 Docker 容器的支持,可以在 IDE 中管理和调试容器。.ignore:提供了许多文件和目录忽略模板,可以帮助你在项目中快速创建 .gitignore 文件。CheckStyle-IDEA:提供了 CheckStyle 的支持,可以帮助你保持代码质量。SonarLint:提供了 SonarLint 的支持,可以帮助你在代码中发现潜在的问题。
Web漏洞-XSS平台简介-相关知识点补充(cookie与session)
ran的博客
03-14 1983
首页(注册)。成功注册后的主页。按照如下路径填写相关信息后点击下一步。之后会返回项目相关的功能。勾选默认模块后点击下一步。点击下一步后,平台会为你创建一个项目。下滑后可以看到平台生成的测试语句。这里我们引用平台生成的最后一条语句。输入网站内的对应位置后点击提交。可以看到成功提交了。来到管理员界面可以看到查看留言的位置。点击进入查看后便发现网站弹出了一个弹窗,说明网站成功执行了js代码
Ubuntu和windows系统下安装odoo17 社区版和企业版
u010991031的博客
11-14 1万+
6.要部署企业版的,就去路径/usr/lib/python3/dist-packages 把里面的odoo文件夹改名,或者删除,然后把企业版源码(需要可以联系walle-168)粘贴进去,重启odoo服务或者重启服务器,然后退出社区版登录,点管理数据库新建数据库就是企业版的了,也可以直接http://ip:8069/web/database/manager直接新建数据库。其他的很多功能也有不错的亮点,比如筛选框、冻结表头等,最后在技术层面也是做了不少的优化,大大提高启动速度,日常应用响应速度。
IDEA常用插件介绍
宇智波小强的博客
07-17 1万+
IDEA常用插件介绍!
IDEA - 最全实用插件与使用
MinggeQingchun的博客
06-04 4946
日晒主题本身是为vim定制的。后来移植到ide 非常酷!配色非常耐看​idea设置黑色经典样式Darcula:idea设置黑色经典样式Darcula。
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
JAVA获取视频缩略图
02-05
超简单 获取视频缩略图。
java利用ffmpeg获取视频缩略图
11-12
这是一个java利用ffmpeg获取视频缩略图的java工程,里面有什么都有了,你只需要导入你的myeclpise,然后运行,看效果就是了,总共就一个类,二十多行代码
httpx是一种快速且多功能的HTTP工具包,允许使用retryablehttp库运行多个探测器-Golang开发
05-26
httpx是一种快速且多功能的HTTP工具包,允许使用retryablehttp库运行多个探测器,它旨在通过增加线程数来保持结果的可靠性。 httpx是一种快速且多功能的HTTP工具包,允许使用retryablehttp库运行多个探测器,它旨在通过增加线程数来保持结果的可靠性。 资源资源功能用法安装说明从二进制文件从源文件运行httpX到探针7614主机使用stdin运行httpx并使用文件输入运行httpx并使用CIDR输入运行httpx并使用带有subfinder / chaos和任何其他类似工具的httpx。 运行带有json输出的httpX Todo谢谢
MP3STEGO.zip
09-16
  mp3stego是一个MP3隐写工具,隐写就是在把WMA压缩转换成MP3的过程中,对要隐藏的文本txt文件进行加密并写入MP3。有需要的可以下载来使用。
odoo17基础培训1-odoo开发基础知识准备以及odoo17开发环境安装
jiafeitutu的博客
01-12 5023
odoo17基础培训1-odoo开发基础知识准备以及odoo17开发环境安装
odoo17开发入门教程(2):创建一个新的模块module
最新发布
03-10 1308
使用docker安装开发环境,再之前的文章中已经讲过了。下面正式进入odoo的开发之旅。本章的目的是为创建一个全新的Odoo模块奠定基础。我们将从头开始,以最小的需求让我们的模块被Odoo识别。在接下来的章节中,我们将逐步添加功能,构建一个现实的商业案例。
Nessus详细安装-windows (保姆级教程
热门推荐
m0_52985087的博客
12-23 1万+
将license全部复制包括前面的-----BEGIN TENABLE LICENSE-----和最后的-----END TENABLE LICENSE----- 否则会提=提示错误。大家可以自行研究怎么扫描,可以先扫描自己的本地主机试试,我试了简单的一般20-30分钟,还可以将扫描的信息导出为pdf,非常nice。Nessus 提供了丰富的报告功能,可以生成详细的漏洞报告和安全建议,帮助管理员和安全团队理解并解决系统中存在的安全问题。在上述11步的时候提到的下载插件的地址,需要提前下载。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值