經過一周時間的Log4j2 RCE事件的發(fā)酵，事情也變也越來越復雜和有趣，就連 Log4j 官方緊急發(fā)布了 2.15.0 版本之后沒有過多久，又發(fā)聲明說 2.15.0 版本也沒有完全解決問題，然后進而繼續(xù)發(fā)布了 2.16.0 版本。大家都以為2.16.0是最終終結版本了，沒想到才過多久又爆雷，Log4j 2.17.0橫空出世。

相信各位小伙伴都在加班加點熬夜緊急修復和改正Apache Log4j爆出的安全漏洞，各企業(yè)都瑟瑟發(fā)抖，連網警都通知各位站長，包括我也收到了湖南長沙高新區(qū)網警的通知。

我也緊急發(fā)布了兩篇教程，給各位小伙伴支招，我之前發(fā)布的教程依然有效。

【緊急】Apache Log4j任意代碼執(zhí)行漏洞安全風險升級修復教程 【緊急】繼續(xù)折騰，Log4j再發(fā)2.16.0，強烈建議升級

雖然，各位小伙伴按照教程一步一步操作能快速解決問題，但是很多小伙伴依舊有很多疑惑，不知其所以然。在這里我給大家詳細分析并復現一下Log4j2漏洞產生的原因，純粹是以學習為目的。

Log4j2漏洞總體來說是通過JNDI注入惡意代碼來完成攻擊，具體的操作方式有RMI和LDAP等。

JNDI介紹 1、JNDI定義

JNDI(Java Naming and Directory Interface，Java命名和目錄接口)是Java中為命名和目錄服務提供接口的API，JNDI主要由兩部分組成：Naming(命名)和Directory(目錄)，其中Naming是指將對象通過唯一標識符綁定到一個上下文Context，同時可通過唯一標識符查找獲得對象，而Directory主要指將某一對象的屬性綁定到Directory的上下文DirContext中，同時可通過名稱獲取對象的屬性，同時也可以操作屬性。

2、JNDI架構

Java應用程序通過JNDI API訪問目錄服務，而JNDI API會調用Naming Manager實例化JNDI SPI，然后通過JNDI SPI去操作命名或目錄服務其如LDAP， DNS，RMI等，JNDI內部已實現了對LDAP，DNS， RMI等目錄服務器的操作API。其架構圖如下所示：

3、JNDI核心API

Java通過JNDI API去調用服務。例如，我們大家熟悉的odbc數據連接，就是通過JNDI的方式來調用數據源的。以下代碼大家應該很熟悉：

本文名稱：【緊急】Log4j又發(fā)新版2.17.0，只有徹底搞懂RCE漏洞原因，以不變應萬變
網頁路徑：http://www.rwnh.cn/news3/203953.html

成都網站建設公司_創(chuàng)新互聯，為您提供網站營銷、定制網站、定制開發(fā)、建站公司、網站制作、手機網站建設

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯