- 主题:log4j 0-day 漏洞
这个是f-string玩脱了吧,把用户输入的信息也转了,这样对方恶意嵌套进来的{}也能被执行了
【 在 z16166 (Netguy) 的大作中提到: 】
: 漏洞是阿里一个多月前就报告了的吧
: java也够扯淡的,写个log还加载远程代码。。。
--
FROM 27.91.71.*
js很好扫描啊,分秒被第三方工具扫出来
【 在 hgoldfish (老鱼) 的大作中提到: 】
: 但保不齐第三方库用了啊。
: 企业级的 JAVA 都这样子,不知道那些用 JS 写后端的怎么看。里面不知道有多少 eval() 等着黑客呵呵。
--
FROM 27.91.71.*
闭源更不安全已经没有争议了
就拿加密协议来说,闭源的几乎100%有bug,也没人敢用
【 在 laoshifu (老师傅) 的大作中提到: 】
: 标 题: Re: log4j 0-day 漏洞
: 发信站: 水木社区 (Wed Dec 15 09:43:28 2021), 站内
:
:
: 这玩应是销售用来忽悠人用的,你还真相信啊
:
: 并且相信了这个,用openssl之类的库就觉着很安心,实际更方便FBI CIA内嵌私货,实
: 际上没有几个人会看源代码,看了也不一定能发现问题。核心部门可能会看,甚至自己
: 完全重新实现一部分功能
:
:
: 【 在 No1 () No1 () 的大作中提到: 】
: : intel cpu还出漏洞呢,都一个德行
: : 说是开源更安全,我咋觉得源码、文档、开发者等啥都不透露才最安全呢
:
:
: --
:
: ※ 来源:·水木社区 mysmth.net·[FROM: 221.200.2.*]
--
FROM 27.91.71.*
我的意思是开发用的静态扫描工具
【 在 nikezhang (难得糊涂) 的大作中提到: 】
: 人家说的是后端
--
FROM 27.91.71.*