文章介绍了Yak,一种专为Web安全设计的语言,如何通过Yak编写Log4j漏洞检查工具,演示了从搭建环境到验证漏洞的过程。作者提到Yak旨在简化安全工作,但文章仅展示了基础应用,未来还有更多优化和扩展可能。
作者:@望川师傅
Yak是什么
Yak 是一门 Web 安全研发领域垂直语言。专为安全而生,致力于安全能力融合的语言。内置多种网络安全模块。
总之Yak是整合了当前多种安全工具和开源项目,让安全从业人员无需安装复杂的依赖,就能上手工作。可以使安全从业人员快速进行安全检测和脚本编写。
Github地址:yaklang/yakit: Cyber Security ALL-IN-ONE Platform (http://github.com)
由于本人接触这门语言时间不长,下面用Yak写一个简单的Log4j的检查工具。
Log4j漏洞
Log4j2 是一款 Java 日志记录框架。在Java开发中应用广泛。
2021年11月下旬由一名中国工程师、阿里云安全团队的 陈兆军(音译)发现Log4j2存着JNDI注入漏洞。并提交Apache官方。
该漏洞被称为:「互联网正在着火」「过去十年最严重的漏洞」「现代计算机历史上最大漏洞」「难以想到哪家公司不受影响」!
漏洞利用流程如下:
搭建漏洞利用环境</
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
