安全|让全世界大厂都手忙脚乱的代码漏洞 是怎么一步步成为噩梦的?( 二 )
文章图片
不知道这个数据有没有包含用户数据,但我建议龙马哥先别急着解释这茬了,还是赶紧把这个漏洞修修吧,不然到时候可能真的不好收场 。
文章图片
咳咳,扯远了……
说回这次的漏洞,最可怕的地方在于实现起来没什么门槛,只要用一串简单的字符,就能轻易攻破服务器,并在上面运行各种代码……
这别说是窃取个人信息了,黑客想要远程挟持、瘫痪企业级的服务器,那也是毫无阻碍 。
那黑客到底是怎么样利用漏洞,用几串字符就轻松攻破服务器的呢?
文章图片
要整明白这个问题,我们得先搞清楚啥是日志 。
众所周知啊,程序员在敲完一段代码之后,肯定不可能马上拿来用,而要通过反复的测试来验证代码的可行性 。
但代码本身在跑的时候,处于一个黑箱状态,如果放任它瞎跑的话,跑到一半卡住,根本不知道是错在哪一步上 。
这就好像是做数学题时候如果没草稿纸,在心里算总是没个底 。
这时候,日志的作用就体现出来了,它就好像是一大张草稿纸,能在上面做任何你自己看的懂得步骤和标记,方便随时随地验算 。
本质上日志是程序员们经常使用的一个工具,它把代码在测试过程中的每一步都给记录下来,跑完再回头 Debug 的时候,就很有针对性,效率也高 。
文章图片
而 Log4J2,就是这么一个开源的日志框架,它里面整合了不少在修改代码时会用到的常用功能,比如日志管理、输出变量等实用功能 。
文章图片
这次的高危漏洞就是源于 Log4J2 中一个叫 Lookups 的功能 。
从字面上理解,这个功能就是一个用来搜索内容的接口,想要搜些啥,那就要靠代码去实现了 。
文章图片
Log4J2 也在 Lookups 的功能下,提供了不少实现的途径,问题就出在这个叫 JNDI 的途径上 。
文章图片
JNDI 被 Java 允许通过远程连接的方式来加载文件,这个远程地址可以是开发者自己的服务器,也可以是外界的服务器 。
推荐阅读
- 代码|GGV纪源资本连投三轮,这家无代码公司想让运营流程变简单
- 智能化|适老化服务让银行更有温度
- bug|这款小工具让你的Win10用上“Win11亚克力半透明菜单”
- 软件和应用|AcrylicMenus:让Windows 10右键菜单获得半透明效果
- 安全|Redline Stealer恶意软件:窃取浏览器中存储的用户凭证
- 解决方案|三菱重工AirFlex:全屋恒温,暖意守护安全工作
- |南安市交通运输局强化渣土 运输安全专项整治
- ASUS|ROG Maximus Z690 APEX DDR5主板实测 转接卡让DDR4内存顺利点亮
- 耳机|饿了么内测“智能头盔”,外卖小哥送餐能更安全吗?
- Tesla|特斯拉因两处安全缺陷召回近50万辆电动汽车 承诺免费修复