4
为啥一个打日志的要去访问网络
source link: https://www.v2ex.com/t/821297
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
看到大家热传的 log4j 打日志爆了严重漏洞,本人不写 java ,不太理解打日志能打出个什么名堂,要去访问网络? 烦请各位 JAVA 大佬解答一下小弟的疑惑。
7 条回复 • 2021-12-10 16:16:34 +08:00
Kasumi20 4 小时 44 分钟前
不清楚,只会 System.out.println 的路过。
aguesuka 4 小时 0 分钟前
作者想去访问 "java:comp/env/" 中的环境变量比如 "logging/context-name", 但是实际调用的 JNDI 相当于 Java 中的 eval
unco020511 2 小时 23 分钟前 2
java 的东西哪个不是复杂的一笔哈哈,打日志也能打出花来
hfc 2 小时 11 分钟前
类似 SQL 注入吧,出现了预期外的行为
xuanbg 2 小时 0 分钟前
目的是调用 JNDI 实现获取外部信息的功能,但没有充分考虑这个功能的安全性。
怎么说呢,调用 JNDI 这个需求是存在的,但不应该由日志组件或者其他第三方组件来实现。自己来调用 JNDI 是可控的,第三方实现了这个功能,就变得不可控了。
怎么说呢,调用 JNDI 这个需求是存在的,但不应该由日志组件或者其他第三方组件来实现。自己来调用 JNDI 是可控的,第三方实现了这个功能,就变得不可控了。
gadfly3173 1 小时 59 分钟前
访问网络是传入的不合法参数,也就是脚本执行的。这个漏洞本质是因为 log4j 不止日志能打进文件、console ,还可以调用各种本地服务打进各种地方,比如 ES 之类的,但是 log4j 又没有对恶意代码有什么防范,就像 SQL 注入一样被利用了。
461da73c 36 分钟前
@gadfly3173 不是很理解,不搞骚操作怎么有机会注入执行,例如最简单的日志:System.out.println 。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK