- 主题:log4j 0-day 漏洞
这种提供配置支持就行,提供给最终输入端做啥
【 在 licy (上网不便, msg收不到) 的大作中提到: 】
: 写日志的时候希望把jvm、服务状态啥的打印出来,提供了口子
: 结果玩大了
--
FROM 183.6.114.*
很多都是滥用第三方包,比如当年struts2那个,人家ognl一个el引擎当然具备动态执行代码的能力,问题是解析参数无非就是解析下xxx.xxx.xxx的问题,indexof,split再反射一下的事情,你非得偷懒让el引擎来做。
不过ognl定位也有问题,你要么像mvel那样把自己定位为一个脚本引擎,那提供修改数据的功能无可厚非,你一个el引擎修改啥数据,你不提供修改数据的功能,struts2就没办法拿你来解析参数。
【 在 hgoldfish (老鱼) 的大作中提到: 】
: 但保不齐第三方库用了啊。
: 企业级的 JAVA 都这样子,不知道那些用 JS 写后端的怎么看。里面不知道有多少 eval() 等着黑客呵呵。
--
修改:canper FROM 183.6.114.*
FROM 183.6.114.*
所以就不应该包揽这事,替换让调用者自己来,字符串模板的api有的事,如果调用者把用户输入传给字符串模板的话,那是调用者自己作死。日志工具包揽字符串模板的工作,还提供了这么强大的功能,是日志工具作死。
【 在 adoal (阿豆) 的大作中提到: 】
: 不是写日志的时候需要执行远程代码,而是写日志的时候希望有
: 一个可以做替换的机制,而这个机制的实现过于灵活,替换时居然
: 默认允许去做远程查询来决定替换的模式……
: ...................
--
FROM 183.6.114.*