大家好,前段时间由一条 Log4j 官网发布的漏洞信息引起了业内的轩然大波,想必当时很多程序员和我一样 —— 连夜加班升级系统。
事情过去以后,我开始认真研究 Log4j 远程代码注入漏洞产生的原因,最终定位在了 JNDI 注入。
我翻阅了许多专题文章,其中有2篇文章写的非常不错,完美解答了我对 “Log4j 注入漏洞” 的疑问,着实没有我发挥想法的空间,所以直接付链接吧。
参考文章:
【入坑JAVA安全】老公,JNDI注入是什么呀?_一个安全研究员-CSDN博客_java jndi注入想知道?https://blog.csdn.net/he_and/article/details/105586691深入理解JNDI注入与Java反序列化漏洞利用 – KINGX
https://kingx.me/Exploit-Java-Deserialization-with-RMI.html