跟个风,聊一聊这两天很火的Log4j核弹级漏洞

最新推荐文章于 2024-06-22 12:20:31 发布
最新推荐文章于 2024-06-22 12:20:31 发布
阅读量1.5k 收藏 4
点赞数 3
文章标签: java 程序人生 面试 编程 架构师
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jinggege_795/article/details/121886422
版权
本文详细介绍了Log4j2的核弹级漏洞,解释了JNDI、LDAP和漏洞原理,指出JNDI注入攻击的风险。文章强调了Java通过JNDI远程下载class文件的潜在危害,并提供了修复建议。提醒广大开发者检查并更新log4j2以防止远程代码执行风险。
摘要由CSDN通过智能技术生成

相信大家这两天应该被这么一条新闻刷屏了吧:

跟个风,聊一聊这两天很火的Log4j核弹级漏洞

这个漏洞到底是怎么回事?

核弹级,真的有那么厉害吗?

怎么利用这个漏洞呢?

我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。

这篇文章,我尝试让所有技术相关的朋友都能看懂:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事!

log4j2

不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。

通过日志,可以帮助我们了解程序的运行情况,排查程序运行中出现的问题。

在Java技术栈中,用的比较多的日志输出框架主要是log4j2logback

今天讨论的主角就是log4j2。

我们经常会在日志中输出一些变量,比如:

logger.info("client ip: {}", clientIp)

现在思考一个问题:

假如现在想要通过日志输出一个Java对象,但这个对象不在程序中,而是在其他地方,比如可能在某个文件中,甚至可能在网络上的某个地方,这种时候怎么办呢?

log4j2的强大之处在于,除了可以输出程序中的变量,它还提供了一个叫Lookup的东西,可以用来输出更多内容:

跟个风,聊一聊这两天很火的Log4j核弹级漏洞

<

最低0.47元/天 解锁文章
jinggege_795
关注
核弹漏洞,我把log4j扒给你看
Blue92120的博客
12-14 230
这个漏洞到底是怎么回事? 核弹,真的有那么厉害吗? 怎么利用这个漏洞呢? 到目前为止,有很多技术分析文章,都太过专业。 很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。 而小谷今天,给大家分享的这篇文章,可以让所有有那么点技术相关的朋友都能看懂:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事!
突发!Log4j 爆“核弹漏洞
程序IT圈
12-13 1084
参考:开源中国、InfoQ等昨晚,对很多程序员来说可能是一个不眠之夜。12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用...
被称为“核弹别”的OpenSSL漏洞
younghz
04-09 6752
1.首先看下新闻: 转自:http://tech.sina.com.cn/i/2014-04-09/10049307446.shtml  新浪科技讯 北京时间4月9日上午消息,美国新闻网站Vox周二撰文,对当天公布的OpenSSL“心脏流血”漏洞进行了全面解读。   以下为文章全文:   什么是SSL?   SSL是一种流行的加密技术,可以保护用户通过互联网传输的
核弹漏洞--log4j
stay hungry ! stay foolish!
12-12 350
log4j2 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。 通过日志,可以帮助我们了解程序的运行情况,排查程序运行中出现的问题。 在Java技术栈中,用的比较多的日志输出框架主要是log4j2和logback。 今天讨论的主角就是log4j2。 我们经常会在日志中输出一些变量,比如: logger.info("client ip: {}", clientIp) 现在思考一个问题: 假如现在想要通过日志输出一个Java对象,但这个对象不在程序中,而是在其他地方,比如可
xz爆出10分的核弹漏洞,开源社区的仓库都被炸没了
一点
03-31 930
这可能是2024年安全界的第一大瓜,所有观众都将是这场事件史诗安全事件的见证者。用一句比较吸眼球的话概括这个故事。养父投毒差点毒死养子,社区委员会查封了该家的故事。
【重核】Spring Boot 最新版发布,一招解决 Log4j2 核弹漏洞
2401_84407887的博客
04-20 1184
最值得注意的,在依赖升中升Log4j2:为了解决 Log4j2 近期发生的核弹漏洞,Spring Boot 之前说新版本会升Log4j v2.15.0,Log4j2 漏洞终极方案1、Spring Boot 项目大家如果在用 2.6.x 和 2.5.x 版本线的,只需要升到最新的 2.6.2, 2.5.8 即可:2.6.2pom这两个版本都会升到最新版本其他的 Spring Boot 2.4.x 及以下的版本线不受支持。
log4j2核弹漏洞靶场复现(反弹shell)
m0_56773673的博客
01-04 4156
十分钟log4j2靶场漏洞复现!!!
两年过去,这个“核弹漏洞仍未消散
2301_80768813的博客
01-18 476
满足不同体量的数据保护需求。内置Retention Lock保留锁定软件,为用户提供不可篡改的文件锁定和安全的数据保留功能,启用合规锁时,系统会要求创建安全官进行双重身份验证,强化iDRAC接口,并需要重新启动才能实施。通过专用网络线路和端门,采用专有协议和Air Gap气隙阀门,DM5500可迅速对数据进行隔离、清洗、扫描,基于干净的数据实现数据恢复和业务还原,帮助用户建立数据安全的最后一道防线。的应用在使用存在漏洞的版本,因此,两年后的今天,有必要再次提醒各位企业用户,消除该漏洞的唯一方法就是。
Windows爆出核彈級漏洞 Win7-Win11無一倖免:微軟緊急發布更新
m0_55055742的博客
06-22 221
根據媒體報道,近日,微軟發布了一項安全更新,以修復Windows作業系統中的一個高危險漏洞,該漏洞編號為CVE-2024-30078,影響範圍和潛在危害都非常大。 這個漏洞理論上影響所有Windows系統,包括無介面的Windows Core、Windows Server等,不過有些版本已經過期停止支援所以沒有安全性更新。 該漏洞與Windows的WiFi驅動程式有關,允許攻擊者在與目標裝置連接到相同WiFi網路時,無需任何使用者互動即可遠端執行程式碼。 這意味著,無論是在公共場所如機場、咖啡店,或是辦公
Spring爆出“核弹高危漏洞-复现
JavaPub
03-30 6932
文末 3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于Java的序列化机制,可导致远程代码执行(RCE),使用JDK9及以上版本皆有可能受到影响 文章目录导读事件回顾临时方案1:WAF临时策略临时方案2:临时缓解措施细数Spring漏洞危机的启示复现 参考: netsecurity.51cto.com/article/705255.html 导读 昨晚,又一枚重磅炸弹在技术圈里引爆,不,这次不是Log4j,而是Spr
Java 界无人入眠的「核弹」、「史诗漏洞,我却看到了不一样
非著名程序员
12-11 2483
上面这个公号「涩郎」,是我的一个备用号,为了防止万一哪天大号失联,平时一周我也会发三篇左右的我的思考,读书笔记,认知感悟等文章,带领大家一起探索精神与财务自由之路。大家好,我是校长。想必大...
log4j2核弹漏洞原理和分析
2401_84411847的博客
04-19 924
起因这两天log4j2的漏洞给刷屏了,就像下面这样但是很少有人提及这个漏洞到底是怎么回事儿。log4j2最为非常顶尖的日志框架,怎么会出现这种别的漏洞呢?了解过漏洞的原理之后我发现,这应该算是一种低漏洞了。原理就是。
Java代码审计中常见的漏洞(四)
武天旭的博客
12-11 1143
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 1 文件上传 2 外部定义加密算法 3 设置HTTPOnly属性 4 加载恶意库 5 服务器端请求伪造 6 反射文件下载 7 解压覆盖文件
Java 代码审计常用漏洞总结
LANXIAMAO的博客
06-18 1080
但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码。download 函数把 filePath 处的文件写到 http 响应中,在整个流程中并没有对文件名的合法性进行检查,存在任意文件下载漏洞,如通过把 affixalName 的值设置。主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯:跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。
Apache Log4j2 lookup JNDI 注入漏洞复现及利用
Tauil的博客
07-21 1206
这时候有过有过js经验的朋友都会知道嗷,编写网站的时候一般都会使用到JNDI这个接口进行目录服务查询,而JNDI中有LDAP的类,他可以用来执行我们的恶意语句,为了方便恶意语句的回显,我们到。查看网络,重新载入一下,看看每个数据包,诶这个时候就会发现有一个数据包存在参数上传,并且URL是在另一个地址。,为什么不用那个,因为啊那个是上传系统参数的数据包,有很大的区别,感兴趣可以自己去搜一下,因为本人java也不是很精通,所以就不多嘴了。并访问,这时我们的攻击机终端就会收到新的消息,这就代表命令。.......
linux 安装log4j,Log4j 安装
weixin_29947319的博客
05-15 1516
Log4j教程 - Log4j安装Log4j API包是根据Apache软件许可证分发的。最新的log4j版本,包括全源代码,类文件和文档可以在http://logging.apache.org/log4j/找到。我们可以从上面的链接下载apache-log4j-x.x.x.tar.gz或zip文件。支持库我们可以使用log4j将信息记录到各种目的地,例如发送电子邮件,数据库或文件。有一个我们需...
log4j2 jndi ldap漏洞复现
Tango小黄的博客
12-16 4890
2021年12月9日,apache log4j2项目爆出重大安全漏洞,如何复现呢?
log4j日志 linux配置,Log4j 日志详细用法
weixin_29023445的博客
05-01 1080
简单的说log4j就是帮助开发人员进行日志输出管理的API类库。它最重要的特点就可以配置文件灵活的设置日志信息的优先、日志信息的输出目的地、日志信息的输出格式Log4j 除了可以记录程序运行日志信息外还有一重要的功能就是用来显示调试信息。程序员经常会遇到脱离Java ide环境调试程序的情况,这时大多数人会选择使用System.out.println语句输出某个变量值的方法进行调试。这样会带来一...
Java】代码中的安全漏洞解决合集(更新中)
纯码农的博客
03-01 1319
汝之观览,吾之幸也!本文主要讲解Java的一些安全漏洞,并且给出浅知的解决方案。
log4j trace
最新发布
08-25
Log4j是一个广泛使用的日志框架,它在Java应用程序中提供了一种灵活的方式来记录和管理应用程序的日志信息。其中的"trace"别通常是最细粒度的记录别,用于记录非常详细、几乎实时发生的事件,比如系统内部的一些调试信息或者是性能监控数据。 当某个日志条目设置为trace别时,它会被记录得非常详尽,有助于开发者定位问题。然而,由于trace信息的数量庞大,一般在生产环境中并不会启用trace,因为这可能会对性能造成影响,并增加不必要的日志文件大小。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值