【log4j漏洞研究】log4j通过slf4j转logback

最新推荐文章于 2024-09-25 08:42:53 发布
最新推荐文章于 2024-09-25 08:42:53 发布
阅读量1.2k 收藏
点赞数
分类专栏: log4j 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sndayYU/article/details/124689768
版权

log4j项目

pom.xml

 <properties>
        <maven.compiler.source>8</maven.compiler.source>
        <maven.compiler.target>8</maven.compiler.target>
        <log.version>2.14.0</log.version>
        <!-- jdk7升级倒2.12.4, jdk8升级到2.17.1 -->
<!--        <log.version>2.17.1</log.version>-->
<!--                <log.version>2.15.0</log.version>-->
    </properties>

    <dependencies>



        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>${log.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>${log.version}</version>
        </dependency>
    </dependencies>

log4j2.xml

<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="WARN">

 <!--全局参数-->
 <Properties>
  <Property name="pattern">%d{yyyy-MM-dd HH:mm:ss,SSS} %5p %c{1}:%L - %m%n</Property>
  <Property name="logDir">/data/logs/dust-server</Property>
 </Properties>

 <Loggers>
  <Root level="INFO">
   <AppenderRef ref="console"/>
   <AppenderRef ref="rolling_file"/>
  </Root>
 </Loggers>

 <Appenders>
  <!-- 定义输出到控制台 -->
  <Console name="console" target="SYSTEM_OUT" follow="true">
   <!--控制台只输出level及以上级别的信息-->
   <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>
   <PatternLayout>
    <Pattern>${pattern}</Pattern>
   </PatternLayout>
  </Console>
  <!-- 同一来源的Appender可以定义多个RollingFile,定义按天存储日志 -->
  <RollingFile name="rolling_file"
               fileName="${logDir}/dust-server.log"
               filePattern="${logDir}/dust-server_%d{yyyy-MM-dd}.log">
   <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>
   <PatternLayout>
    <Pattern>${pattern}</Pattern>
   </PatternLayout>
   <Policies>
    <TimeBasedTriggeringPolicy interval="1"/>
   </Policies>
   <!-- 日志保留策略,配置只保留七天 -->
   <DefaultRolloverStrategy>
    <Delete basePath="${logDir}/" maxDepth="1">
     <IfFileName glob="dust-server_*.log" />
     <IfLastModified age="7d" />
    </Delete>
   </DefaultRolloverStrategy>
  </RollingFile>
 </Appenders>
</Configuration>

Log4j2Demo

package org.example;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
public class Log4j2Demo {

    /**
     * 版本2.14.0:
     * 2022-03-08 10:44:15,130  INFO Log4j2Demo:10 - --------------start---------------
     * 2022-03-08 10:44:15,140  INFO Log4j2Demo:13 - Hello, Windows 10 10.0, architecture: amd64-64
     * 2022-03-08 10:44:15,140  INFO Log4j2Demo:14 - --------------end---------------
     *
     * 升级到2.15.0|2.17.1版本后:
     * 2022-03-08 10:49:42,866  INFO Log4j2Demo:19 - Hello, ${java:os}
     *
     */
    private static  final Logger LOGGER = LogManager.getLogger();
    public static void main(String[] args) {
        LOGGER.info("--------------start---------------");
        String username="1111${java:os}";

        LOGGER.info("Hello, {}",username);
        LOGGER.info("Hello, {}", "${java:os}");
        LOGGER.info("--------------end---------------");
    }
}

执行main函数发现如下,会存在安全漏洞
在这里插入图片描述

升级logback日志

pom.xml加上下面

        <dependency>
            <groupId>ch.qos.logback</groupId>
            <artifactId>logback-classic</artifactId>
            <version>1.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-to-slf4j</artifactId>
            <version>2.8.2</version>
            <!--            <version>${log.version}</version>-->
        </dependency>

logback.xml

<configuration>
    <appender name="Console" class="ch.qos.logback.core.ConsoleAppender">
        <layout class="ch.qos.logback.classic.PatternLayout">
            <Pattern>
                [logback]%black(%d{ISO8601}) %highlight(%-5level) [%blue(%t)] %yellow(%C{1.}): %msg%n%throwable
            </Pattern>
        </layout>
    </appender>

    <root level="DEBUG">
        <appender-ref ref="Console" />
    </root>
</configuration>

再执行main函数,漏洞不存在了
在这里插入图片描述

log4j-to-slf4j:从 Log4j 迁移到 SLF4J 的实用程序。 它还将 Log4j 日志消息换为 SLF4J 日志消息
07-09
介绍 这是一个简单的实用程序,可用于将 Log4j 格式的日志语句换为 SLF4J 格式的日志语句。 示例输入是: logger.info("Hello " + who); 将换为: logger.info("Hello {}", who); 先决条件 您应该安装了 Python 2.7.x。 假设您使用的是具有可变参数支持的 SLF4J 1.7 或更高版本。 怎么跑? 运行这个脚本非常容易。 只需使用文件名作为参数调用脚本。 log4jtoslf4j.py ExampleInput.java 原始输入文件将以 .orig 扩展名保存。 您可以提供多个输入文件作为参数。 重要笔记 假设您的记录器被命名为 log 或 logger(不区分大小写)。 如果您以任何其他方式命名记录器,请修改全局变量 LOGGER_NAMES,它应该可以工作。 建议您仅对已签入的文件运行
java日志框架
我翱翔的天空
03-17 976
java日志框架日志体系历史如何使用bridge只引入slf4j-api.jar包slf4jlogback组合slf4jlog4j组合slf4j和jdk组合slf4j和simple组合slf4j和nop组合引入jcl包jcl和log4j组合重定向jclslf4j死循环归纳后记 java日志框架 对于一个系统来说日志是必不可少的一部分,线上问题跟踪,基于日志的业务逻辑统计分析等都离不日志。记...
SLF4JLogback 的整合
最新发布
Flying_Fish_roe的博客
09-25 1144
SLF4J 不是一个日志实现库,而是一个日志门面(facade),它为 Java 提供了一组标准化的日志接口。开发者可以使用 SLF4J 统一地记录日志,而在运行时选择具体的日志实现,例如 LogbackLog4j 等。这种设计使得代码与日志实现解耦,便于在项目中自由切换日志框架。统一的日志接口:为日志框架提供一个标准的抽象层。灵活的绑定机制:在运行时通过不同的实现库绑定具体的日志框架。参数化日志输出:支持带占位符的日志消息,减少字符串拼接开销。
Apache Log4j曝史诗级漏洞,Spring boot修复教程
chechengtao
12-13 7067
全球知名开源日志组件Apache Log4j被曝存在严重高危险级别远程代码执行漏洞,攻击者可以利用该漏洞远程执行恶意代码。据阿里云通报,由Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 该漏洞于12月7日由游戏平台Minecraft用户在网上曝光,据称黑客可以通过操作日志消息(甚至在聊天信息中键入内容),并且还可以在Minecraft服务器端执行恶意代码。Apache log4j官方在7日当天便发布2.15.0-rc1版本以修复漏洞,随后,阿里云、斗象
log4j-slf4j-impl cannot be present with log4j-to-slf4j
热门推荐
ttyy1112的专栏
06-22 3万+
log4j-slf4j-impl cannot be present with log4j-to-slf4j 这个错误的意思是 log4j-slf4j-impl 和 log4j-to-slf4j 这两个包不能同时存在。 那么为什么这两个包不能同时存在呢?我们先来看一下这两个包的定义: log4j-slf4j-impl The Apache Log4j SLF4J API binding to Log4j 2 Core log4j-to-slf4j The Apache Log4j binding betw
log4jslf4j源码解析
wangxizzz的博客
04-19 701
1.log4jslf4j的关系 SLF4J,即简单日志门面(Simple Logging Facade for Java)。从设计模式的角度考虑,它是用来在log和代码层之间起到门面的作用。对用户来说只要使用slf4j提供的接口,即可隐藏日志的具体实现。这与jdbc和相似。使用jdbc也就避免了不同的具体数据库。使用了slf4j可以对客户端应用解耦。因为当我们在代码实现中引入log日志的时候,用...
如何将应用的log4j替换成logback详解
08-31
需要注意的是,由于LogbackSLF4J的实现,所以应用中的日志调用应直接通过SLF4J的API进行,避免使用Log4j的API。 总结,Logback在性能、灵活性和可配置性上都优于Log4j,且迁移过程相对简单。通过替换依赖、创建新...
log4j-2.11.2的jar包和日志门面slf4j的jar包
11-11
通过这个门面,开发者可以在不修改代码的情况下更换底层的日志框架,如从Log4j切换到LogbackSLF4J的版本1.7.30是一个稳定版本,修复了一些已知问题并提高了兼容性。 在给定的压缩包中,还有一个`log4j-slf4j-impl...
slf4j-log4j12-1.7.7.jar下载
01-08
在使用SLF4JLog4j12时,你需要注意的一点是,由于Log4j1.2相比Log4j2在某些方面可能较旧,例如性能和功能更新,因此在新项目中,你可能会考虑使用更新的SLF4J绑定器,如slf4j-log4j2,以便利用Log4j2的改进特性。...
tomcat9 slf4j+log4j2 写日志.zip
12-27
首先,SLF4J是一个日志门面,它为各种日志框架提供了抽象层,如LogbackLog4j。它的主要优点是允许用户在部署时选择适合自己的日志实现,而无需修改代码。SLF4J通过提供一个统一的API,使得更换日志框架变得非常...
日志 log4j-slf4j+logback1.3.0
08-17
本文将深入探讨“日志4j(Log4j)、SLF4J(Simple Logging Facade for Java)和logback 1.3.0”这三者之间的关系以及它们在Java应用中的作用。 首先,Log4j是Apache软件基金会开发的一个流行的日志记录框架,它允许...
23、springboot日志使用入门-- SLF4J+Logback 实现(springboot默认的日志实现),日志打印到控制台及日志输出到指定文件
Java 领域技术分享
08-10 1万+
springboot日志使用入门-- 基于SLF4J+Logback 实现(springboot默认的日志实现)
log4j2漏洞解决方案:log4j2换为logback
u011618288的博客
01-12 2465
log4j2漏洞解决方案:log4j2换为logback ,log4j2漏洞 log4j2 logback flink
slf4jlog4jlog4j2的jar包配合使用,日志打印问题
wzf17610358100的博客
02-22 1256
log4j2+slf4j日志打印问题
python内置的一些模块
weixin_30919235的博客
11-10 171
logging模块: 默认情况下,logging将日志打印到屏幕,日志级别为WARNING;日志级别大小关系为:CRITICAL > ERROR > WARNING > INFO > DEBUG > NOTSET,当然也可以自己定义日志级别。配置logging对日志的输出格式: import logginglogging.basicConfig(level=...
log4j2换成logback
u011618288的博客
12-10 1375
log4j2 logback 日志
记一次log4j漏洞修复与吐槽
weixin_44718708的博客
12-21 616
关于log4j漏洞修复与吐槽,然后为什么不使用logback呢?
log4j-slf4j-impl cannot be present with log4j-to-slf4j 之类的问题,解决maven依赖冲突
qq_43719388的博客
07-27 6394
maven 日志冲突解决方案
Log4j
weixin_45452866的博客
10-15 560
日志的等级 fatal(致命) error warn info debug trace(堆栈) 日志输出控制文件: 日志信息的输出位置:控制日志信息将要输出的位置,是输出到控制台还是文件的等 日志信息的输出格式:控制日志信息的显示格式,即以怎样的字符串形式显示 日志信息的输出级别:控制日志信息的显示内容,即显示哪些级别的日志信息 日志附加器 所谓日志附加器,就是为日志记录器附加上很多其他设...
探索Java日志库:SLF4JLog4jLogBack比较
例如,如果项目中既有使用Log4j的部分,又有使用java.util.logging的部分,通过SLF4J,开发者只需引入slf4j及其对应的适配器(如slf4j-log4j12或slf4j-jdk14),就可以在不修改原有代码的情况下切换日志实现,大大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值