Log4Shell 漏洞究竟是个啥?
发布时间:2021-12-30 19:50:49 所属栏目:安全 来源:互联网
导读:2020 年的12月,势必成为各个互联网公司年度最深刻的记忆。 在 12 月初,爆出了一个核弹级的系统漏洞,导致众多互联网公司内部服务器被发现,劫持,甚至植入程序。 尽管目前已经出台了修复补丁,但这个出现在最基础的应用最广泛的模块 log4j 上的漏洞还是让
|
2020 年的12月,势必成为各个互联网公司年度最深刻的记忆。 在 12 月初,爆出了一个核弹级的系统漏洞,导致众多互联网公司内部服务器被发现,劫持,甚至植入程序。 尽管目前已经出台了修复补丁,但这个出现在最基础的应用最广泛的模块 log4j 上的漏洞还是让我们心有余悸。 为什么这么就没有被发现,为什么这个漏洞如此严重,这个漏洞到底是怎么回事?…… 什么样的漏洞 log4j[1] 是 Java 标准库的模块,主要负责记录各种日志,和 Python 中的 logging[2] 类似。 log4j 功能强大,可以支持各种场景的日志记录需求,比如将日志输出到终端,将日志记录到文件,或者发送到日志服务器等等,可以说但凡需要记录日志的地方,log4j 是最佳选择。 正是由于这一点,log4j 才成为最常用的模块,加上互联网公司的基础设施都是由 java 构建的,所以 log4j 深入到每个公司的角角落落。 log4j 就像一个兢兢业业,任劳任怨的门卫老大爷,一丝不苟的记录着各种来访信息,以便系统排查问题。 为什么这样一个普通的,不起眼的模块会爆出一个惊天漏洞呢? 为了说明这个情况,我借鉴 少数派 PlatyHsu 的比喻[3]做讲解,即使你不会编程,不懂技术也可以理解。 如何实施 对于普通大众来说,系统漏洞离我们很远,即使知道这样的漏洞存在,也不知如何发挥作用,也是因为这个原因,导致很多人对漏洞信息不敏感,以为自己不知道如何使用,别人也就不知道,这样的想法会让自己常常处于危险之中。 log4Shell 漏洞,实施起来简单地让人难以置信,甚至不需要使用什么攻击工具,只需要在平台的登录页面,填写一个特别的用户名即可。 (编辑:大连站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐