Agile Alliance log4j2“核弹级”漏洞,你中招了吗

VIP文章 已于 2022-03-30 14:02:16 修改
阅读量3.9k 收藏
点赞数
分类专栏: 测试心得 问题Issue 文章标签: log4j2 JNDI lookup 漏洞 pom.xml
于 2022-03-30 13:41:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21685903/article/details/123842360
版权

1 问题背景

漏洞编号

CNVD-2021-95914

漏洞名称

Apache Log4j任意代码执行漏洞

漏洞性质

任意代码执行

漏洞描述

12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。

根据“微步在线研究响应中心”消息,可能的受影响应用包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。很多互联网企业都连夜做了应急措施。斗鱼、京东、网易、深信服和汽车产业安全应急响应中心皆发文表示,鉴于该漏洞影响范围比较大,业务自查及升级修复需要一定时间,暂不接收 Log4j2 相关的远程代码执行漏洞。

漏洞危害

Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据被日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码,可能对用户造成不可挽回的损失

危害等级

严重

影响版本及范围

2.0 <= Apache log4j2 <= 2.14.1

2 分析原因及复现漏洞

2.1 相关知识介绍

2.1.1 最简单的日志打印

// 通过表单接收name等字段,并且在日志中生成一条记录
public void login(string username){
  String username = "test";  //表单接收name字段
  logger.info("{},登录了", username); //logger为log4j
}

    日志会显示

INFO  test,登录了

    思考:记录日志为什么会导致bug呢?

最低0.47元/天 解锁文章
AllisWell_WP
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dublinbike:ScreenSSH PythonJavaScriptJQuery烧瓶Jinja2 SQLAWS EC2AgileTeam工作项目
05-11
都柏林自行车 AWS / Python / Linux / MySQL / Google地图API / Google图表/开放天气API / JSON / flask / jinja2 / Bootstrapt / JQuery 由于信用已过期,AWS EC2已关闭,Web应用程序的结果将通过图片显示。 创建了一个Web应用程序以显示Dublinbike的入住和天气信息。 使用Scrum管理。 在这里的会议记录 通过API收集数据 数据管理/存储在AWS上的DB中 在地图上显示自行车站 天气信息 入住信息 项目在EC2上运行
(解读)什么是渗透测试(Penetration Testing)?
热门推荐
梅森上校的博客 业精于勤荒于嬉,形成于思毁于随。
12-16 5万+
(解读)什么是渗透测试(Penetration Testing)?   渗透测试(Penetration Testing),也称为Pen Testing,是测试计算机系统、网络或Web应用程序以发现攻击者可能利用的安全漏洞的实践。渗透测试可以通过软件应用自动化或手动执行。无论哪种方式,该过程都包括在测试之前收集关于目标的信息,识别可能的入口点,试图闯入(虚拟的或真实的)并报告结果。  让我们...
Agile Alliance 由一次需求边界值测试引发的【整数溢出攻击】思考
Alliswell_WP
03-30 3556
某需求测试过程中:新增报价申请界面,点击【暂存】或【提交】,显示系统错误,无法提交,查看日志,发现报错是:4398046512275超过int(-2147483648-2147483647)的边界范围;基于此进行总结的思考和总结。
oracle agile 性能,Oracle Agile PLM安全漏洞(CVE-2016-3554)
weixin_42452580的博客
04-03 190
Oracle Agile PLM安全漏洞(CVE-2016-3554)发布日期:2016-07-21更新日期:2016-07-25受影响系统:Oracle Supply Chain Products Suite 9.3.5Oracle Supply Chain Products Suite 9.3.4描述:CVE(CAN) ID: CVE-2016-3554Oracle Agile产品生命周期管理...
win10蜜月_应用程序安全性–您可以依靠蜜月效应吗?
danpu0978的博客
05-14 375
win10蜜月 我在今年旧金山举行的RSA大会上从Dave Mortman那里了解了一些有趣的研究,该研究支持Devops和Agile的论点,即可以安全地进行连续,增量,迭代的更改:麻省理工学院林肯实验室的一项研究( 牛奶或葡萄酒:软件安全改善与年龄? )和蜜月的影响 ,桑迪·克拉克在宾夕法尼亚大学。 这些研究表明,大多数软件漏洞是基础性的(从开发开始到首次发布),是早期决策的结果,而不是...
安全HCIP之Agile Controller-Campus系统
XiaoHG_CSDN的博客
10-15 2109
Agile Controller-Campus系统 Agile Controller-Campus系统包括四部分管理中心( MC)、业务管理器( SM)、业务控制器( SC)以及客户端,网络接入设备( NAD )作为方案的组成部分与业务控制器联动实现基于用户的接入控制和业务随行; ...
安装Agile Controller
weixin_34005042的博客
08-30 3081
预安装系统的:用户名:SWMaster 密码:Changeme123前提下载一、安装SQL数据库步骤如下输入产品密钥勾选接受许可条款产品更新检查检查安装环境设置安装角色功能选择安装规则保持默认实例配置检查磁盘空间要求服务器配置SQL服务器配置指定服务账户配置数据库身份验证模式错误报告检查安装环境准备安装完成安装二、安装agile 打开Agile Controller文件,点...
华为agile controller磁盘爆满问题解决
weixin_34404393的博客
04-26 528
原因:华为agile controller的数据库C:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\DATA\AgileControllerDB_log.LDF文件过大,当时我们有126G左右了。 华为agile controller磁盘爆满解决三步走:1.把AgileControllerDB的恢复模式修改为简单(...
AgileFramework系列组件——agile-log日志打印组件
萌教授的博客
09-22 241
agile-log : 日志打印组件 源码地址:https://gitee.com/agile-framework/agile-log 它有什么作用 控制层执行过程日志打印 无代码入侵 通过嵌入过滤器方法实现日志打印 支持自定义扩展 通过实现接口cloud.agileframework.log.ExecutionObjectProvider注入到spring容器,即可实现对控制层执行过程数据的扩展 快速入门 开始你的第一个项目是非常容易的。 步骤 1: 下载包 您可以从[最新稳定版本]下
Agile Extension tothe BABOKv2® Guide
01-17
Agile methods and approaches have become prevalent in recent years. The ideas which were identified in the realm of software product develbeyond software development into many other areas that opment ...
Agile foundations 2 days training
08-19
Agile foundations 2 days training, very helpful for beginner of Agile.
agile2go:Rails 4-Backbone.js-SemanticUI
05-14
敏捷2Go 这个应用程式适合我的投资组合Agile2Go是一个经过充分测试的应用程序,可在Elastic Beanstalk上运行,并使用ribs.js,Rails作为API,实时Firebase和Monalab作为DaaS构建设置git clone cd agile2go 捆耙db:...
The Scrum Field Guide - Agile Advice for Your First Year and Beyond 2nd
12-19
Extensively revised to reflect improved Scrum practices and tools, this edition adds an all-new section of tips from the field.
关于__Federico Milano 的电力系统分析工具箱.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
mlab-upenn 研究小组的心脏模型模拟.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
混合图像创建大师matlab代码.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
中序遍历二叉树-java版本
04-26
在Java中,实现二叉树的中序遍历同样可以通过递归来完成。中序遍历的顺序是:首先递归地中序遍历左子树,然后访问根节点,最后递归地中序遍历右子树。 在这段代码中,Node类定义了二叉树的节点,BinaryTree类包含一个指向根节点的指针和inOrder方法,用于递归地进行中序遍历。printInOrder方法调用inOrder方法并打印出遍历的结果。 在Main类中,我们创建了一个示例二叉树,并调用printInOrder方法来输出中序遍历的结果。输出应该是:4 2 5 1 3,这表示中序遍历的顺序是左子树(4),然后是根节点(2),接着是右子树的左子树(5),然后是右子树的根节点(1),最后是右子树的右子树(3)。
无头单向非循环链表的实现(SList.c)
最新发布
04-26
无头单向非循环链表的实现(函数定义文件)
两个有序链表的合并pta
04-26
"PTA" 通常指的是一种在线编程平台,例如“Pata”或者某些特定学校或组织的编程练习与自动评测系统。在这种平台或系统中,学生或程序员会提交代码来解决各种问题,然后系统会自动运行并评测这些代码的正确性。 当提到“两个有序链表的合并PTA”时,这通常意味着在PTA平台上解决一个特定的问题,即合并两个有序链表。具体任务可能是给定两个已按升序排序的链表,要求编写代码来合并这两个链表,形成一个新的有序链表。
agile java
02-28
Agile Java中,开发团队通过短期的迭代周期(通常为2-4周)来开发软件。每个迭代周期都包括需求分析、设计、编码、测试和部署等阶段。这种迭代的方式可以使开发团队更加灵活地应对需求变化,并及时纠正错误。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值