log4j 安全问题验证demo & CRLF注入漏洞

最新推荐文章于 2024-06-03 15:52:37 发布
最新推荐文章于 2024-06-03 15:52:37 发布
阅读量7.6k 收藏 2
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42299862/article/details/111994732
版权

一、环境准备
https://blog.csdn.net/weixin_42299862/article/details/111993837
下面是想写一个demo看两个问题,第一个问题是使用Log4j log.error() 打印异常日志是否会泄露敏感信息,第二个问题是log4j是否有日志注入问题。

二、demo
1、环境和代码
https://www.cnblogs.com/huanghuanghui/p/11775731.html
https://www.cnblogs.com/qlqwjy/p/7192947.html
先在pom.xml里增加

		<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-log4j2</artifactId>
		</dependency>

在这里插入图片描述
新建test类,代码如下

package com.example.demo.service;

import lombok.extern.slf4j.Slf4j;

@Slf4j
public class
最低0.47元/天 解锁文章
小猫咪不想写代码
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【技术分享】初识HTTP响应拆分攻击(CRLF Injection) .pdf
09-05
【技术分享】初识HTTP响应拆分攻击(CRLF Injection) 业务安全 企业安全 解决方案 安全 安全分析
log4j组件的用法(log4j1)
weixin_30727835的博客
11-25 213
在实际的项目开发和维护中,日志是经常用到的一个内容。遇到问题的时候,经常需要通过日志去查出问题的所在并解决问题。 通常我们会用: System.out.println(xxx); 来打印运行中所需要的内容。但在日志非常多的情况下,或者在项目上线的情况下,这种方式就狠不实用了。总不能盯着控制台看日志吧?如果想看前段时间的日志呢?如果要大批的改变日志打印出的内容呢?如果想只看异常信息的日...
Web网络安全-----Log4j高危漏洞原理及修复_log4j漏洞是什么
最新发布
weixin_42340783的博客
06-03 946
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
搬砖笔记-CRLF注入
WM_NNXX的博客
07-14 310
** 漏洞原理 ** CRLF 指的是回车符(CR,ASCII 13,\r,%0d) 和换行符(LF,ASCII 10,\n,%0a) Windows:使用CRLF表示行的结束 Linux/Unix:使用LF表示行的结束 MacOS:早期使用CR表示,现在好像也用LF表示行的结束 在HTTP报文结构中,状态行和首部中的每行都是以CRLF结束,首部和主体之间由一个空格行进行分割。或者理解为最后一个字段有两个CRLF,首部和主体由两个CRLF分隔。 CRLF漏洞的原理还是未对用户的输入做验证,导致被输入恶意字符
【应用安全之日志注入log4j防止日志注入
qq_35789269的博客
12-19 1630
日志注入
Log4j 详细配置
让我们手牵着手一起远行...
12-11 665
Log4J的配置文件(Configuration File)就是用来设置记录器的级别、存放器和布局的,它可接key=value格式的设置或xml格式的设置信息。通过配置,可以创建出Log4J的运行环境。 1. 配置文件 Log4J配置文件的基本格式如下:  #配置根Logger log4j.rootLogger  =   [ level ]   ,  appenderName1 ,
crlfuzz:快速扫描Go语言编写的CRLF漏洞的工具
03-19
CRLFuzz快速扫描Go语言编写的CRLF漏洞的工具资源安装从二进制安装很容易。您可以从下载预编译的二进制文件,然后解压缩并运行!或搭配:play_button: curl -sSfL https://git.io/crlfuzz | sh -s -- -b /usr/local/...
CRLF测试工具打包文件
12-27
4. **报告生成**:测试完成后,工具应能生成详细的测试报告,列出所有发现的CRLF注入漏洞,包括注入点位置、影响程度和复现步骤。 5. **定制化配置**:对于复杂的测试场景,工具可能允许用户自定义CRLF注入字符串、...
Web-安全渗透全套教程漏洞扫描之Ap.zip
05-22
在网络安全领域,Web安全渗透是至关重要的一环,它涉及到对Web应用程序的系统性测试,以发现潜在的安全漏洞。本教程“Web-安全渗透全套教程漏洞扫描之Ap”着重讲解了如何进行Web应用的安全扫描和渗透测试。在此,...
护网面试题总结+DD安全工程师笔试问题
09-15
知识点:常见的中间件漏洞包括 IIS PUT 漏洞、短文件名猜解、远程代码执行、解析漏洞 Apache 解析漏洞、目录遍历 Nginx 文件解析、目录遍历、CRLF 注入、目录穿越 Tomcat 远程代码执行、war 后门文件部署 JBoss 反序...
Java日志框架Log4j 2详解
AE_BD的博客
03-12 3450
日志是记录系统或应用程序在运行过程中所发生事件或行为的详细信息的文件。它通常包括时间戳、事件类型、事件描述等信息,以便在需要时进行故障排查、性能优化、安全审计等工作。日志可以帮助开发人员和系统管理员诊断应用程序问题,了解系统运行情况,以及存档和监控事件。在java中一般都是使用log4j 2的日志框架根节点,其中可定义appenders节点和loggers节点,属性包含以下内容:status:可以用来指定Log4j 2本身打印日志的级别:用来设置配置文件的动态加载时间,单位是秒,最小是5秒。
Web网络安全-----Log4j高危漏洞原理及修复
热门推荐
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
【Java之轨迹】Log4j 配置(详细注释)
Ice__Clean的博客
08-06 421
自己写一份模板备用~ ① 配置文件 ######## Log4j配置 ######## # 指定日志输出的级别和地方,第一个参数是级别 # 往后可以接多个参数,参数名自定义,下面可以用到 log4j.rootLogger = debug,logDB # console,file,rollingFile # 自定义 logger 实现控制日志输出,前缀 log4j.logger,后面加上类的全路径,等于号后边写级别和参数(同上,不写继承 root的) # log4j.logger.com.xxx = er
CRLF漏洞
weixin_43876438的博客
10-27 475
CRLF漏洞 CRLF的含义是carriage return/line feed,意思是行的结束,转义字符是\r\n。CRLF由两部分组成: CR:回车符的MSC字符,转义字符是\r,ASCII码十进制是13,URL编码下是%0d LF:换行符的MSC字符,转义字符是\n,ASCII码十进制是10,URL编码下是%0a 回车符可以让光标移到当前行的开始位置,换行符可以让光标垂直移到下一行(Enter键)。不同系统的换行操作符是不一样的: Windows:CRLF Linux:LF CRLF是在电传
[CTF技巧]命令注入绕过总结
3tefanie丶zhou的博客
07-08 3491
命令分隔符 cat /etc/passwd;ls 分号 ; cmd1;cmd2(多条语句顺序执行) cat /etc/passwd && ls and && cmd1&&cmd2 与命令,cmd1成功则执行cmd2,cmd1失败则不执行cmd2 cat etc || ls or || cmd1 || cmd2 cmd1执行失败则执行cmd2,若cmd1执行成功则不执行cmd2 管道符 | | 管道符 管道符”|“
[实践总结] 解决日志注入问题的一次实践(log4j2)
张紫娃的博客
04-05 2338
代码验证:发现日志被注入 代码验证:\n\r被替换为_,日志不会被注入 优劣: 优:确实会避免日志注入 劣:代码冗余+代码泛滥 代码验证:enc 会对 CRLF 进行转义,从而避免日志注入 优劣: 优:确实会避免日志注入,而且通过修改配置,避免了代码冗余和代码泛滥 劣:日志文件里依旧会有,如果我们的日志需要被日志可视化服务读取,他们可能会被我们日志注入,这种直观看来感觉就是我们写入日志出问题。主体思路:替换操作语法格式:CRLF转义后的枚举值列举: 代码验证CRLF 被置换为空 优劣: 优:避免
asp %0D%0A换行问题
东亮博客
07-09 5437
Function SecTrim(s1)  SecTrim = Replace(Trim(s1),Chr(13)&Chr(10),"")  End Function
HTTP响应拆分攻击的原理
wcj1840224162的博客
12-20 622
HTTP响应拆分攻击的原理HTTP响应拆分攻击代码示例 HTTP响应拆分攻击代码示例 Chinese%0d%0aContentLength:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContentType:%20text/html%0d%0aContentLength:%2029%0d%0a%0d%0a<html>Hacked by 你的名字 </html> 浏览器解析后: Location: …?language=Chinese Con
【日志框架】SLF4J教程、Log4j漏洞、Logback与log4j比较
后端研发工程师Marion的博客
12-13 3129
一、参考资料 SLF4J简介 -SLF4J教程™
crlf注入漏洞复现
08-09
CRLF注入漏洞是一种常见的网络安全漏洞,它在代码中未对输入进行正确的过滤和验证,导致攻击者可以利用换行符(CRLF:Carriage Return Line Feed)来执行恶意代码或实施其他攻击。 要复现CRLF注入漏洞,首先需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值