.NET 程序测试 Java 项目 log4j2 是否存在远程代码执行漏洞

最新推荐文章于 2023-11-04 01:10:01 发布
最新推荐文章于 2023-11-04 01:10:01 发布
阅读量2.4k 收藏 1
点赞数 1
文章标签: java 安全 docker linux http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sD7O95O/article/details/121896181
版权

bfe86107e4b541aa0c1b52676084ec04.png最近两天被朋友圈的“Apache Log4j2 远程代码执行漏洞”刷屏了,主要是因为组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码。

影响范围

Apache Log4j 2.x <= 2.14.1

JNDI(Java Naming and Directory Interface)是Java提供的Java 命名和目录接口。通过调用JNDI的API应用程序可以定位资源和其他程序对象。JNDI是Java EE的重要部分,需要注意的是它并不只是包含了DataSource(JDBC 数据源),JNDI可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA,摘自百度百科。

网上很多文章说如何修复漏洞和漏洞截图,几乎没有说如何测试项目是否存在该漏洞。Java 使用 Log4j2 主要测试代码如下:

1

2

log.info("${jndi:rmi://127.0.0.1:8100/Main}");

log.info("${jndi:ldap://127.0.0.1:8100/Main}");<
最低0.47元/天 解锁文章
dotNET跨平台
关注
漏洞复现】Apache Log4j2 远程代码执行漏洞
做自己喜欢的事,并将其发挥到极致!
07-20 915
ApacheLog4j2是一个·基于Java的日志记录工具,该工具重写了Log4j框架,并且引入大量丰富的特性,该日志框架被大量用于业务系统开发,用来记录日志信息。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。......
Apache log4j2远程代码执行漏洞复现
世间繁华梦一出
12-11 9884
Apache log4j2 远程代码执行漏洞复现漏洞描述漏洞影响范围漏洞复现步骤:深度利用——反弹shell防御措施 漏洞描述 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的请求包,最终出发远程代码执行。该漏洞实际上是组件解析缺陷导致的。 漏洞影响范围 2.0 <= Apache
Log4j2异步日志背后的数字
开涛的博客
05-11 710
作者:京东集团-京东零售-技术与数据中台-共享技术部-流量技术组 王丽。引言 在程序开发过程中,几乎任何一个应用程序都会通过打印日志来记录跟踪程序运行情况,打印日志信息不仅可以让我们详细...
用VS.NET中的测试工具测试ASP.NET程序
weixin_30293135的博客
06-14 142
使用Application Center Test  首先,建立一个简单的Web应用程序。例如,我将使用图1所示的页面(请注意,我使用了一些联机编写ASP.NET页面的小技巧,你不需要编写完整的Page_Load事件声明)。  示例Web应用程序 <%@ Page Language="C#" %><%@ Import Namespace...
.Net软件测试指南 第一章 用.net自动测试软件
weixin_30362233的博客
07-14 500
为什么.NET可以用于测试.NET Framework库有许多支持测试过程的功能。 1. 针对Service的功能与性能:有许多内部函数可以返回测试平台和被测试的应用程序的重要信息。 2. 针对UI:.NET的Shell函数和SendKeys类可以操作图形用户界面GUI 3. 针对DB: Visual Stadio Database Tools 可以连接数据库,检查其结构和数据。 ...
.NET单元测试
weixin_30651273的博客
02-15 481
TDD(Test-DrivenDevelopment)测试驱动开发是敏捷开发中的一项核心实践和技术,也是一种设计方法论。TDD的原理是在开发功能代码之前,先编写单元测试用例代码测试代码确定需要编写什么产品代码。单元测试是最基本的测试步骤。位于整个产品开发流程V模型的最底部。 大致如图,在各种开发流程中RA&PSD完成后,无需底层基础,UAT方案即可完成,下面的步骤也一样。UT做为底...
用VS.NET中的测试工具测试ASP.NET程序 (1)
xyh321的专栏
04-02 426
首先,建立一个简单的Web应用程序。例如,我将使用图1所示的页面(请注意,我使用了一些联机编写ASP.NET页面的小技巧,你不需要编写完整的Page_Load事件声明)。   示例Web应用程序 <%@ Page Language="C#" %> <%@ Import Namespace="System.Data " %> <%@ Import Namespace="Sys
漏洞研究》Apache Log4j2 远程代码执行漏洞
最新发布
1
11-04 1697
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码
log4j2远程代码执行漏洞根本原因分析 | log4j bug 复现
清云逸仙的博客
12-14 2145
一、 背景 近年来技术开源热潮席卷全球,诸多信息领域大厂及开发者争相拥抱开源,将其推上了前所未有的高度。 然而,最近全球知名开源日志组件 Apache Log4j2 被阿里团队曝出严重高危漏洞。该漏洞让黑客不用知道服务器账号,就可以做到如入无人之境,进而对你的服务做任何你可以想象到的破坏。 Apache Log4j2 这一漏洞被称为 " 史诗级 " 高危漏洞,服务器业务(Steam、iCloud、Minecraft 等)被严重影响。尽管后续 Apache ...
.net 压力测试代码实例
03-26
.net 压力测试代码实例,用.net写的测试某段代码压力的实例
Log4j与Log4j2
xihuanyuye的博客
06-04 946
上周组会,提到了Log4j的替换工作。 同事提了一句,log2j是多线程,Log4j是单线程,所以前者是后者的替代。 这个解释是完全不对的,但是自己根本还没有亲自己动手搭建过这样的程序,更何况测试它们的性能,还有所谓性能出问题的地方。 但是这里进行了相关资料的查询,后续可以作为应用时的参考。 1、命名错误 不存在Log2j,否则这个定义倒是退步了。 而是log4j,现在新版本是log4...
log4j 2之简单测试
undergrowth的专栏
09-28 2528
1.去官网      http://logging.apache.org/log4j/2.x/download.html 点击打开链接 下载log4j 2的jar包和source包    2.新建Log4j2_Test 项目 并添加log4j-api-2.0-beta9.jar和log4j-core-2.0-beta9.jar 添加到工程中            3.编写测试文件    Lo
Log4net 简明手册(转)
weixin_30323961的博客
08-24 164
常见面,却不怎么用,究其原因还是觉得太复杂了点。不过,这东西出现次数越来越频繁,也只好写点东西,以备后用。本文仅对 Log4net 的使用做个简要说明,所有涉及到扩展和开发的部分一概忽略。 使用 Log4net,需要熟悉的东东有 Logger、Appender 以及 Layout。Logger 是日志记录器,我们使用其相关方法来完成日志记录;Appender 用于设置日志的存储方式和位置,L...
Apache Log4j爆“核弹级“漏洞,对众多java应用平台造成影响,已发现近万次攻击
大数据小禅的博客
12-10 3475
昨晚对很多java程序员来说可能是个不眠之夜,面对突发的Log4j漏洞,很多公司都需要采取应急措施。改漏洞一旦被攻击者利用,将会造成无法估量的危害 近日,一个受到全球广泛使用的组件Apache Log4j被曝出现一个可利用的高危漏洞。攻击者只需要一段代码就可以远程控制受害者的服务器。触发条件为外部用户输入的数据会被日志记录,造成远程代码执行。 受影响的版本 Apache Log4j 2.x <= 2.14.1 版本均会受到影响 漏洞临时解决方案 设置jvm参数 “-Dlog4j2.format.
Log4j.net 项目配置实例
chenyistrength的专栏
08-10 3493
1.首先在Global.asax中写如下code:void Application_Start(object sender, EventArgs e) { log4net.Config.DOMConfigurator.Configure();}2.web.config配置: 在子节点下添加: 配置log4net节点
Log4j2日志记录框架的使用教程与简单实例
pan_junbiao的博客
02-14 1万+
1、Log4j2的使用教程 1.1简介 Log4j的1.x版本虽然已经被广泛使用于很多应用程序中,但由于出现内存泄漏等bug,代码难以维护,以及需要使用老版本的jdk等劣势,在2015年8月已经玩完。它的替代品,SLF4J,Logback,Log4j2对日志框架做了很多必要的改进。 历史上出现了很多的日记框架,如: Log4j:Apache Log4j是一个基于Java的日志记录工具。它...
Log4j2-Log4j 2介绍及使用
热门推荐
小工匠
07-15 3万+
Log4j 2 官网https://logging.apache.org/log4j/2.x/Log4j 2简介Log4j的1.x版本已经被广泛使用于很多应用程序中。然而,它这些年的发展已经放缓。它变得越来越难以维护,因为它需要严格遵循很老的Java版本,并在2015年8月寿终正寝。它的替代品,SLF4J和Logback对框架做了很多必要的改进。那么为什么还要费心去做Log4j 2呢?几个原因如下:
Log4j 2使用教程
MemRay
12-22 1万+
转载自 Blog of 天外的星星: http://www.cnblogs.com/leo-lsw/p/log4j2tutorial.html Log4j 2的好处就不和大家说了,如果你搜了2,说明你对他已经有一定的了解,并且想用它,所以这里直接就上手了。   1. 去官方下载log4j 2,导入jar包,基本上你只需要导入下面两个jar包就可以了(xx是乱七八糟的版本号):  
apache log4j2远程代码执行漏洞检测工具
08-31
Apache Log4j2远程代码执行漏洞是一种影响Apache Log4j2日志记录库的严重安全漏洞。该漏洞允许攻击者通过发送特制的网络请求,远程执行任意代码,导致服务器完全被控制。 为了帮助检测这个漏洞,一些安全公司和社区...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值