欢迎光临
我们一直在努力

关于这次Apache Log4j2漏洞 简单说几点

1、不是有请求就说明有漏洞,但是很可能是有漏洞,在没有授权的情况下不建议深入,直接报告官方,等官方确认是可行的

2、不是用了Log4j的都应用程序就一定有影响,但是大多数情况确实是受到影响,触发流程要具体看应用调用方式

3、rc1被绕过是说漏洞点确实可以被绕过,但是rc1已经默认了log4j2.formatMsgNoLookups为true 只要不是手贱那也没啥问题

4、目前主要攻击暴露面还是在事件型漏洞上,直接简单暴力提交参数就行,通用软件的暴露面正在路上

5、Log4j可以说无处不在,如果你短期不能确定排查哪些用了受漏洞影响,建议上waf等设备规则拦截,推荐使用我司创宇盾(提我可能可以打折)

6、攻击面可能设计到服务端甚至客户端,各种云,各种OS,所以需要做好长久战的准备时刻关注进展。tips:安卓不支持jndi

7、apache要背锅,就跟当年st2漏洞一样,官方直接就给出了exp!当然这次我觉得可能也算是开源软件的缺陷(缺少安全补丁推广普及时间空间)

8、这个漏洞必然会在历史上留名,毫不夸张的说只要你想道的互联网公司都会受到这个漏洞影响,这个也是一开始可能被低估的漏洞

赞(0) 打赏
未经允许不得转载:黑客技术网 » 关于这次Apache Log4j2漏洞 简单说几点
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏