- 主题:log4j 0-day 漏洞
php和c++写这种字符串解析也可能会出这种问题
【 在 fanci (大葡萄) 的大作中提到: 】
: SQL注入的另一种玩法……Java社区果然就这点水准。
: - 来自 水木社区APP v3.5.3
: 【 在 xiaoju 的大作中提到: 】
: : 这个是f-string玩脱了吧,把用户输入的信息也转了,这样对方恶意嵌套进来的{}也能被执行了
--
FROM 223.104.38.*
主要是jndi,rmi这种远程执行代码,稍微不注意就会中招,其他语言如果提供这种远程调用也一样
【 在 fanci (大葡萄) 的大作中提到: 】
: SQL注入的另一种玩法……Java社区果然就这点水准。
: - 来自 水木社区APP v3.5.3
: 【 在 xiaoju 的大作中提到: 】
: : 这个是f-string玩脱了吧,把用户输入的信息也转了,这样对方恶意嵌套进来的{}也能被执行了
--
FROM 1.202.22.*
和java无关,是log4j自作聪明了,logback就没有这问题
【 在 z16166 (Netguy) 的大作中提到: 】
: 漏洞是阿里一个多月前就报告了的吧
:
: java也够扯淡的,写个log还加载远程代码。。。
:
--
FROM 1.202.22.*
根本不是sql注入,就是log4j自作聪明,把用户输入内容的jndi部分执行了,和Java也没有关系,其他语言难道没有远程代码执行漏洞?
【 在 fanci (大葡萄) 的大作中提到: 】
: SQL注入的另一种玩法……Java社区果然就这点水准。
: - 来自 水木社区APP v3.5.3
: 【 在 xiaoju 的大作中提到: 】
: : 这个是f-string玩脱了吧,把用户输入的信息也转了,这样对方恶意嵌套进来的{}也能被执行了
--
FROM 1.202.22.*
php还一堆解析文本字符串,eval的呢
【 在 adoal (阿豆) 的大作中提到: 】
:
: 但是没有比Java圈更热爱这种over design的了
:
: 【 在 nikezhang (难得糊涂) 的大作中提到: 】
--
FROM 1.202.22.*
人家说的是后端
【 在 xiaoju (可爱的龙猫) 的大作中提到: 】
: js很好扫描啊,分秒被第三方工具扫出来
:
: 【 在 hgoldfish (老鱼) 的大作中提到: 】
: : 但保不齐第三方库用了啊。
--
FROM 1.202.22.*
之后都是默认关闭的
【 在 hover (人生自古谁无死 此恨绵绵无绝期) 的大作中提到: 】
: 这次之后log4j会提供一个方便的方式关闭这些“高级”功能吗
: 我就想简单地写个log而已
: 【 在 adoal (阿豆) 的大作中提到: 】
: : 不是写日志的时候需要执行远程代码,而是写日志的时候希望有
--
FROM 1.202.22.*
不是对,是format好了之后lookup的
【 在 adoal (阿豆) 的大作中提到: 】
:
: 嗯,真的是over-design了……
:
: 不过话说回来,不懂Java的我看了一下log4j2的JavaDoc,
--
FROM 1.202.22.*
不是对,是format中间之后lookup的,对用户输入值也这样做了,本来就是想给应用程序员提供一个灵活的方法,关键是有的程序员不知道这些,把外部用户输入也写日志了
【 在 adoal (阿豆) 的大作中提到: 】
:
: 嗯,真的是over-design了……
:
: 不过话说回来,不懂Java的我看了一下log4j2的JavaDoc,
--
FROM 1.202.22.*