- 主题:log4j 0-day 漏洞
php和c++写这种字符串解析也可能会出这种问题
【 在 fanci (大葡萄) 的大作中提到: 】
: SQL注入的另一种玩法……Java社区果然就这点水准。
: - 来自 水木社区APP v3.5.3
: 【 在 xiaoju 的大作中提到: 】
: : 这个是f-string玩脱了吧,把用户输入的信息也转了,这样对方恶意嵌套进来的{}也能被执行了
--
FROM 223.104.38.*
但是没有比Java圈更热爱这种over design的了
【 在 nikezhang (难得糊涂) 的大作中提到: 】
: php和c++写这种字符串解析也可能会出这种问题
--
FROM 122.225.220.*
主要是jndi,rmi这种远程执行代码,稍微不注意就会中招,其他语言如果提供这种远程调用也一样
【 在 fanci (大葡萄) 的大作中提到: 】
: SQL注入的另一种玩法……Java社区果然就这点水准。
: - 来自 水木社区APP v3.5.3
: 【 在 xiaoju 的大作中提到: 】
: : 这个是f-string玩脱了吧,把用户输入的信息也转了,这样对方恶意嵌套进来的{}也能被执行了
--
FROM 1.202.22.*
和java无关,是log4j自作聪明了,logback就没有这问题
【 在 z16166 (Netguy) 的大作中提到: 】
: 漏洞是阿里一个多月前就报告了的吧
:
: java也够扯淡的,写个log还加载远程代码。。。
:
--
FROM 1.202.22.*
但保不齐第三方库用了啊。
企业级的 JAVA 都这样子,不知道那些用 JS 写后端的怎么看。里面不知道有多少 eval() 等着黑客呵呵。
【 在 nikezhang (难得糊涂) 的大作中提到: 】
: log4j自作聪明,非要对表达式做lookup,连用户自己输入的都一起做,还好我们用的logback,里面没有对$表达式解析的
--
FROM 124.72.118.*
根本不是sql注入,就是log4j自作聪明,把用户输入内容的jndi部分执行了,和Java也没有关系,其他语言难道没有远程代码执行漏洞?
【 在 fanci (大葡萄) 的大作中提到: 】
: SQL注入的另一种玩法……Java社区果然就这点水准。
: - 来自 水木社区APP v3.5.3
: 【 在 xiaoju 的大作中提到: 】
: : 这个是f-string玩脱了吧,把用户输入的信息也转了,这样对方恶意嵌套进来的{}也能被执行了
--
FROM 1.202.22.*
php还一堆解析文本字符串,eval的呢
【 在 adoal (阿豆) 的大作中提到: 】
:
: 但是没有比Java圈更热爱这种over design的了
:
: 【 在 nikezhang (难得糊涂) 的大作中提到: 】
--
FROM 1.202.22.*
这是两种不同风格的坑……
我说的只是over-design
至于php……懒得关心
【 在 nikezhang (难得糊涂) 的大作中提到: 】
: php还一堆解析文本字符串,eval的呢
--
修改:adoal FROM 125.118.101.*
FROM 125.118.101.*