文章图片
咳咳 , 扯远了 。。。
说回这次的漏洞 , 最可怕的地方在于实现起来没什么门槛 , 只要用一串简单的字符 , 就能轻易攻破服务器 , 并在上面运行各种代码 。。。
这别说是窃取个人信息了 , 黑客想要远程挟持、瘫痪企业级的服务器 , 那也是毫无阻碍 。
那黑客到底是怎么样利用漏洞 , 用几串字符就轻松攻破服务器的呢?
文章图片
要整明白这个问题 , 我们得先搞清楚啥是日志 。
众所周知啊 , 程序员在敲完一段代码之后 , 肯定不可能马上拿来用 , 而要通过反复的测试来验证代码的可行性 。
文章图片
但代码本身在跑的时候 , 处于一个黑箱状态 , 如果放任它瞎跑的话 , 跑到一半卡住 , 根本不知道是错在哪一步上 。
这就好像是做数学题时候如果没草稿纸 , 在心里算总是没个底 。
这时候 , 日志的作用就体现出来了 , 它就好像是一大张草稿纸 , 能在上面做任何你自己看的懂得步骤和标记 , 方便随时随地验算 。
本质上日志是程序员们经常使用的一个工具 , 它把代码在测试过程中的每一步都给记录下来 , 跑完再回头 Debug 的时候 , 就很有针对性 , 效率也高 。
文章图片
而 Log4J2, 就是这么一个开源的日志框架 , 它里面整合了不少在修改代码时会用到的常用功能 , 比如 日志管理、输出变量等实用功能 。
文章图片
这次的高危漏洞就是源于 Log4J2 中一个叫 Lookups 的功能 。
从字面上理解 , 这个功能就是一个用来搜索内容的接口 , 想要搜些啥 , 那就要靠代码去实现了 。
文章图片
Log4J2 也在 Lookups 的功能下 , 提供了不少实现的途径 , 问题就出在这个叫 JNDI 的途径上 。
文章图片
JNDI 被 Java 允许通过远程连接的方式来加载文件 , 这个远程地址可以是开发者自己的服务器 , 也可以是外界的服务器 。
推荐阅读
- 代码|GGV纪源资本连投三轮,这家无代码公司想让运营流程变简单
- 智能化|适老化服务让银行更有温度
- bug|这款小工具让你的Win10用上“Win11亚克力半透明菜单”
- 软件和应用|AcrylicMenus:让Windows 10右键菜单获得半透明效果
- ASUS|ROG Maximus Z690 APEX DDR5主板实测 转接卡让DDR4内存顺利点亮
- 电子商务|员工抱怨亚马逊太冷酷:工伤后得不到赔偿 还不让休假
- 猎豹|数字化助力实体消费 机器人让商场“热”起来
- 服务|互联网+税务让服务更优质 杭州代开发票税务进入新局面
- 端口|俄语黑客论坛出售全新私人定制勒索病毒——BlackCat
- 手机|1千亿让小米超越苹果?别被雷军的障眼法,忽悠了