log4j2漏洞的前世今生

最新推荐文章于 2025-12-26 18:13:00 发布
原创 最新推荐文章于 2025-12-26 18:13:00 发布 · 2.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #安全 #开发语言

本文解释了JNDI和LDAP协议的基本概念,并深入探讨了Log4j中的远程代码执行漏洞触发机制。通过分析log4j如何调用lookup及初始化类的动作,揭示了应用服务器与LDAP服务交互导致的安全风险。

  1. 什么是jndi?

  2. 什么是ldap协议? rmi dns?

  3. 漏洞怎么触发的,为什么会执行远程代码

  4. java的日志体系,slfj ->jul jcl log4j logback  门面 ? 桥接器? 这些日志如何搭配使用,项目用了log4j怎么切换到其它日志?Log4j Bridge

  5. 怎么防止?如果是你怎么修复

    下面这幅图没有表达清楚漏洞产生的原因,将就着看

image.png

image.png

image.png

  1. 为什么会执行 ,静态代码块,log4j 会调用lookup有一个初始化类动作

  2. NamingManager.getObjectFactoryFromReference

  3. image.png

  4. 应用服务器 像ldap服务发起请求,发现内容没有,然后根据ldap指定地方下载了java类,XXXX.class 。正好log4j对这个类有一个初始化动作,静态代码块被执行。漏洞触发

log4j2核弹级漏洞原理和分析
wx的博客
12-11 2万+
log4j2漏洞原理和分析起因漏洞问题重现依赖常规的日志写法lookupsJndi Lookup漏洞补救漏洞解决 起因 这两天被log4j2漏洞给刷屏了,就像下面这样 但是很少有人提及这个漏洞到底是怎么回事儿。log4j2最为非常顶尖的日志框架,怎么会出现这种级别的漏洞呢?了解过漏洞的原理之后我发现,这应该算是一种低级漏洞了。原理就是JNDI代码注入。不过我也是先刷到了大都督的视频才了解了原因的Log4j高危漏洞!具体原因解析!全网第一!,不得不说,大都督还是叼。 漏洞问题重现 依赖 首先,先码一下依赖
Java小姿势】Log4j2漏洞前世今生
行雨斋
12-20 3119
A.源起 2021年12月9日,各大公司都被一个重量级漏洞引爆了,该漏洞一旦被攻击者利用就会造成及其严重的影响。经过快速分析和确认,该漏洞影响范围极其广泛,危害极其严重。然后从10日凌晨开始很多公司的程序员都被迫开始应急相应,加班加点修复问题。该漏洞涉及包含但不限于Struts2、Flink、ElasticSearch、Druid、dubbo、Redis、kafka等常用应用和组件。 爆出这个漏洞的这就是大名鼎鼎的日志组件log4j2 。作为日志组件,在java领域基本上是再常见运用不过的了,而这个漏洞可以
log 日志的前世今生-故事版
fuqilee的博客
11-19 783
这是一个故事,故事有一个主角,名字比较特色,很多人叫他ceki,全名是CekiGülcü,我们姑且叫他小明吧。 很久以前,java是没有日志的,调试也只是用system.out.print()去打印日志,这有很大的问题,没有日志怎么查询问题呢,一堆system.out.print有些是部署后想看到的,可是还有很多只是在开发阶段要看到的,如果没有删除就是多余的代码了,怎么办呢? 这时候一个叫小明的主角出现了,他写了一个日志框架,就是鼎鼎大名的log4j,这个实现了日志的展示,日志的级别...
JAVA日志的前世今生
weixin_34233618的博客
08-06 229
       这世界上很多事情,看起来就像彩虹一样炫目而神奇,实际上背后蕴含着随处可见的原理。就好像静儿几年前买过一件超贵的防辐射服,当时销售人员把手机严严实实的包在防辐射服里,然后让我打电话测试,果然没有信号。 直到今天,静儿为了写文章,把自己蒙在空调被里,额,竟然连不上网。于是掀起一个被角,“大象”的巡检结果哒哒哒的弹出来了。然后我感慨:自...
log4j2远程代码执行漏洞原因以及解决方案
mischen520的博客
12-20 5605
log4j2漏洞解决方案
Log4j高危漏洞原理及复现
热门推荐
qq_51302564的博客
12-15 1万+
Log4j高危漏洞原理及复现 漏洞检测||复现环境 查看JDK版本,发现版本小于1.8u121 图3-7 查看JDK版本 查看log4j2版本,发现版本在2.x <= 2.14.1内 图3-8 查看log4j2版本 查看代码,发现存在log4j2相关的lookup语句 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w9LtKVys-1639577266999)(C:\Users\BLACKF~1\AppData\Local\Temp\ksohtml\wps3AFF.
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 2230
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
JNDI 注入漏洞前世今生
有价值炮灰
12-14 3855
前两天的 log4j 漏洞引起了安全圈的震动,虽然是二进制选手,但为了融入大家的过年氛围,还是决定打破舒适圈来研究一下 JNDI 注入漏洞。 JNDI 101 首先第一个问题,什么是 JNDI,它的作用是什么? 根据官方文档,JNDI 全称为 Java Naming and Directory Interface,即 Java 名称与目录接口。虽然有点抽象,但我们至少知道它是一个接口;下一个问题是,Naming 和 Directory 是什么意思?很多相关资料都对其语焉不详,但其实官方对其有详细解释。 N
Ghost in the Log4Shell
IDEAL Garden
01-07 312
核弹级漏洞 Log4Shell(CVE-2021-44228)的影响必将是深远的,不仅仅是当下肉眼可见的攻击事件和损失数据,在相当长时间的将来我们都会被这次的阴影所笼罩 – 蠕虫病毒和勒索软件的肆虐,个人敏感数据的大量泄漏。
Spring Boot 篇五: Log的使用
Wrote Ideas Down, Together with Skills
10-26 4244
Spring Boot的学习过程。本篇主要讲述Log。
惊艳之作!AI 应用架构师设计的卓越 AI 安全漏洞检测系统
SuperAGI2025
08-25 1240
想象一下:你用AI医生诊断病情,结果它把"肺炎"误诊为"感冒"——因为有人偷偷在你的X光片上画了几个肉眼看不见的小点;你用AI自动驾驶汽车,它突然把"红灯"识别成"绿灯"——因为路面上有几个特殊排列的小贴纸。这些不是科幻电影的情节,而是AI安全漏洞可能导致的真实风险。本文目的:带你认识AI系统的"安全隐患",理解AI应用架构师如何设计一套能主动发现并防御这些隐患的"AI安全漏洞检测系统"。
c++之基础A(二维数组)第四课
2302_76761070的博客
12-21 399
本文介绍了二维数组在C++游戏开发中的基本应用,特别是迷宫类游戏的实现。通过示例代码演示了二维数组的输入输出操作,以及如何计算每行和每列的和。输入输出采用双重循环结构,行列求和则分别通过固定行或列索引来实现。这些基础操作为游戏开发中处理地图数据等场景提供了实用方法,适合编程新手学习二维数组的基本使用技巧。
Java ArrayList和线性表
Harrybili的博客
12-22 799
在集合框架中,ArrayList是一个普通的类,实现了List接口,具体框架图如下说明是以泛型方式实现的,使用时必须要先实例化实现了接口,表明ArrayList支持随机访问实现了Cloneable接口,表明ArrayList是可以clone的实现了接口,表明ArrayList是支持序列化的5.和Vector不同,ArrayList不是线程安全的,在单线程下可以使用,在多线程中可以选择Vector或者CopyOnWriteArrayList。
点赞系统问题
最新发布
amdkk的博客
12-26 490
​​:Spring Pulsar 提供的接口,允许通过customize方法深度定制消费者行为。批量接收策略配置。:控制批量消息接收策略maxNumMessages:单次批量拉取多少条信息timeout:超时后触发批量处理。NACK重试策略当消费者调用时触发重试。:消息重投递的退避策略接口。.minDelayMs(1000) // 初始延迟 1 秒 .maxDelayMs(60000) // 最大延迟 60 秒 .multiplier(2) // 指数退避倍数。
计算机毕业设计|基于springboot + vue健康茶饮销售管理系统(源码+数据库+文档)
12-24 786
本文介绍了基于SpringBoot+Vue的健康茶饮销售管理系统开发。系统采用前后端分离架构,后端使用SpringBoot框架简化配置,前端采用Vue实现组件化开发,数据库选用MySQL。文章详细说明了系统设计原则、技术选型理由,并提供了代码示例和测试案例。系统功能完整,包含商品管理、用户认证等模块,通过严格测试确保安全性。文末附有源码获取方式和最新毕设选题推荐,适合作为计算机专业学生的项目参考。
电子书《Java编程思想(第4版)》
吴名氏的博客
12-23 3982
电子书《Java编程思想(第4版)》
通过adb命令获取某个window或View/子View的绘制内容并输出为png图片的方法
Railshiqian的博客
12-23 932
本文介绍了通过adb工具获取Android系统Window和View结构的方法。首先需要建立adb与ViewServer的连接(端口4939),然后通过"LIST"命令获取可dump的窗口列表,再使用"DUMP [窗口ID]"命令查看指定窗口的View树结构。该方法可帮助开发者分析应用界面问题,替代已废弃的Hierarchy View工具。示例展示了如何获取系统导航栏TopCarSystemBar的View层级信息,包括ViewGroup的各种属性和状态。
计算一个字符串在另一个字符串中出现次数
沉下心,苦磨炼
12-21 190
【代码】计算一个字符串在另一个字符串中出现次数。
mybatis-plus插件解决sql报错:this is incompatible with sql_mode=only_full_group_by ”
吉他程序员的博客
12-23 230
解决的办法可以改sql,也可以改sql服务的conf配置, 但是如果你项目用的是mybatis-plus插件 , 就可以用我介绍的很简单的方法。是 MySQL 的严格模式要求,确保 GROUP BY 查询的语义明确。这个错误是 MySQL 5.7+ 版本中最常见的兼容性问题之一。SELECT 列表中的列不在 GROUP BY 子句中。MySQL 无法确定从分组中的哪行返回这些列的值。且这些列也不是聚合函数的参数。然后重启项目就可以了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值