Log4j2.x 远程代码执行漏洞对线上项目(Log4j2.x)有影响吗?

最新推荐文章于 2022-03-21 14:37:20 发布
最新推荐文章于 2022-03-21 14:37:20 发布
阅读量2.1k 收藏
点赞数
分类专栏: java基础 文章标签: 安全 log4j log4j2 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35634154/article/details/122128914
版权

突然,用户一封邮件袭击而来。只知道Log4j问题大了,也没去想自己的项目有没有影响。这下不得不去校验一番了。

执行测试代码如下:

/**
 * @Description Log4J 漏洞测试
 * @Author 开源字节
 */
public class Log4jTest {

    private static final Logger logger = LogManager.getLogger(Log4jTest.class);

    public static void main(String[] args) {

        String request = "${java:os}";
        logger.error(request);  // 如果打印出来不是上面的字符串,而是形如“Windows 10 10.0, architecture: amd64-64”这样的,说明有漏洞,执行了代码,获得了操作系统的信息

    }
}

 结论:还好跟我没关系

开源字节
关注
专栏目录
Log4j2漏洞
qq_45455136的博客
03-08 741
Log4j2漏洞简介Log4j2介绍LDAPJNDIJNDI可访问的服务命名服务(Naming Service)JNDI命名引用注入Log4j2漏洞原理Log4j2漏洞影响Log4j2漏洞排查方法Log4j2漏洞复现Log4j2 RCE漏洞修复 Log4j2介绍 Log for Java,Apache的开源日志记录组件,使用非常广泛 基本操作 pom引入依赖 获得logger实例 logger.info() debug() error() warn() … LDAP Lightweight Direct
Log4j远程代码执行
hackzkaq的博客
02-25 1523
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全——holic 0x01、环境 Jdk7u21(随便版本都可以) 影响版本: Apache Log4j 2.x org.apache.logging.log4j log4j-core 2.11.1 Poc import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; public class test2 { private static
Log4jLog4j2
xihuanyuye的博客
06-04 959
上周组会,提到了Log4j的替换工作。 同事提了一句,log2j是多线程,Log4j是单线程,所以前者是后者的替代。 这个解释是完全不对的,但是自己根本还没有亲自己动手搭建过这样的程序,更何况测试它们的性能,还有所谓性能出问题的地方。 但是这里进行了相关资料的查询,后续可以作为应用时的参考。 1、命名错误 不存在Log2j,否则这个定义倒是退步了。 而是log4j,现在新版本是log4...
Log4j2安全漏洞引起的思考
manok的专栏
01-26 704
log4j安全漏洞能够从代码级别上和软件成分分析上两个维度上进行检测。
团灭!Log4j 1.x 也爆雷了。。。速速弃用!!
Java技术栈,分享最主流的Java技术
12-29 685
点击关注公众号,Java干货及时送达最近炒得沸沸扬扬的 Log4j2 漏洞门事件,大家应该都修复完了吧,还没修复的看栈长分享的 Log4j2 最新漏洞动态:Log4j 2.3.1 发布!又...
Log4j漏洞调研,源码浅解析
weixin_44029684的博客
12-17 1584
最近log4j安全漏洞突然冒了出来,用了许久slf4j的我吓得赶紧翻遍了依赖,发现自己用的依赖并没有依赖上log4j-core,长吁一口气。吃了个午饭后转念一想我又没工作,也没啥线上项目在跑,何故担心这些问题?wc,那倒腾半天不就白整了,不行,反正这漏洞java圈也挺大的,不如顺便研究一波,在未来应聘时也有聊的地方。 全文几乎都是站在巨人的肩膀上完成的,新人技术不佳,还望轻喷。
log4j2漏洞复现
qq_17622203的博客
03-21 3293
参考链接 Apache Log4j2 远程代码执行漏洞 - xuzhujack - 博客园 CVE-2021-44228——Vulfocus-Log4j RCE漏洞复现_网络¥安全联盟站的博客-CSDN博客 工具链接 DNSLog Platform https://github.com/welk1n/JNDI-Injection-Exploit/releases https://www.jackson-t.ca/runtime-exec-payloads.html 此次漏洞的出现,正是由用于
Apache Log4j 2 报高危漏洞,CODING 联手腾讯安全护卫软件安全
CODING 博客
12-10 3094
腾讯安全专家建议所有用户尽快升级到安全版本
SPARK 应用如何快读应对 LOG4J 系列安全漏洞
明哥的IT随笔
01-19 2036
SPARK 应用如何快速应对 LOG4J 的系列安全漏洞大家好,我是明哥!1. CDH/HDP/CDP 等大数据平台中如何快速应对 LOG4J2 的JNDI系列漏洞在前段时间发表的博文 “...
“阿帕奇”Log4j2来袭,监控易为何能平安无恙?
MXsoft618的博客
12-24 5673
“阿帕奇”Log4j2来袭,监控易为何能平安无恙? 12月10日半夜,一众互联网公司技术核心人员都被CTO们电话Call醒,半夜汇聚网络世界,集体排查处理线上程序BUG——Apache(阿帕奇) Log4j2 安全漏洞。这个BUG太严重破坏力极强,互联网上曝出了 Apache Log4j2 中的远程代码执行漏洞,攻击者就可利用此漏洞构造特殊的数据请求包,最终触发远程代码执行。 12月11日一大早,一个个客户电话打进美信科技的客服热线,询问监控易产品是否有Log4j2漏洞。当听到“不会
分析Apache Log4j2 远程代码执行漏洞
ordersyhack
02-04 9461
分析Apache Log4j2 远程代码执行漏洞
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4135
spring-boot-starter-log4j2漏洞修复方式
Apache log4j2 漏洞影响到了千千万万程序员,彻夜修复
天道酬勤
12-11 1万+
可怕的漏洞 Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。 作为 Java 日志界的扛把子,Log4j 和 logback 几乎一统了江湖,影响面不可谓不大,下面我们就来亲身用代码来体会一下这个漏洞。 此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者灵活的读取环境中的配置。 简单点说,就是 log.info("")这行代码中,{}") 这行代码中,")这行代码中,{} 里的变量可以被替换,但是参数内容未做严格的控制,导致这个漏
一问三不知之log4j2漏洞简析
lumingzhu111的博客
12-11 4万+
1.log4j2漏洞介绍 1.1简介 Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,同时修复了Logback架构中的一些问题。是目前最优秀的Java日志框架之一。 2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apa
突发!Log4j 爆“核弹级”漏洞,Flink、Kafka等至少十多个项目影响
Java 架构师之路
12-11 3282
点击关注公众号,Java干货及时送达????作者 | 褚杏娟这两天,你熬夜应急了吗?昨晚,对很多程序员来说可能是一个不眠之夜。12 月 10 日凌晨,Apache 开源项目 Log4j ...
手把手教你复现Log4j2漏洞,千万别中招!
Java知音
12-13 2214
点击关注公众号,实用技术文章及时了解来源:blog.csdn.net/qq_40989258/article/details/1218623630x00 简介ApacheLog4j2是一个...
log4j没有生成日志文件_log4j<=1.2.17反序列化漏洞(CVE201917571)分析
weixin_39664746的博客
12-04 6433
PS: 文章仅用于研究漏洞原理,促进更好的防御,禁止用于非法用途,否则后果自负!!!log4j是Apache开发的一个日志工具。可以将Web项目中的日志输出到控制台,文件,GUI组件,甚至是套接口服务器。本次出现漏洞就是因为log4j在启动套接口服务器后,对监听端口传入的反序列化数据没有进行过滤而造成的。下面我们以log4j-1.2.17.jar的源码来进行分析。0x01 漏洞分析当...
Log4j2 重大漏洞与解决方案
热门推荐
小夏陌的博客
12-14 7万+
从12月10日(上周五)开始,朋友圈,各种论坛、公众号和群,都在讨论一个Log4j漏洞,多少程序员半夜爬起来改代码,甚至威胁到了全球网络安全。为什么这个漏洞反应这么强烈呢?
log4j升级到log4j2(不需要改代码版)-我踩过的那些坑
qq_40982286的博客
02-20 5251
在公司时接到了一个需求,由于log4j存在安全漏洞,公司要求项目日志框架进行更换,从log4j升级到log4j2,本人也是第一次进行jar包升级,在此过程中也是踩了很多的坑,作为毕业大半年第一次在此写博客,记录一下我遇到的问题,希望对你有所帮助。 一、删除项目中引用的log4j jar包 <dependency> <groupId>log4j</g...
Log4j2漏洞修复:关键jar文件更新指南
资源摘要信息:"解决Apache Log4j远程代码执行漏洞log4j2部分jar文件包括log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar。" 在深入了解这些jar文件之前,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

开源字节

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值