关于 log4j2 漏洞的疑惑

2021-12-21 10:08:06 +08:00
 fangcan

因为我本人没做过安全测试和渗透测试的工作, 所以才有这个疑惑

我看网上复现这个漏洞的方法也很简单,类似 xss 攻击。 所以不明白全世界范围内那么多公司,做了那么多的安全测试。 没理由这个 jndi 的漏洞会发现不了。

后面我跟现公司的测试要了安全测试用例,确实是没有包含 jndi 的内容,是业界默认都不做这块的测试么?

所以请教下做过测试的 v 友解答下

2761 次点击
所在节点    程序员
7 条回复
ruanimal
2021-12-21 10:16:53 +08:00
是没想到一个日志库解析日志时会访问外部网络。。。
cmdOptionKana
2021-12-21 10:19:51 +08:00
这与变魔术的情形一样,解密之前就是看不破,解密之后眼睛就知道该盯着哪里看了,人太容易有思维盲点。
exiledkingcc
2021-12-21 10:20:44 +08:00
大概是这个功能本来旧没有多少人用。
而且很多项目里面有 log4j 是不是它自己用,而是依赖带过来的。
kernelpanic
2021-12-21 10:29:35 +08:00
因为这不是一个漏洞,是 feature ,而且大家默认 log.xxx=println, 只是一个简单的输出内容到指定位置, 谁也不会想到一个 log 库会解析 jndi 地址
fangcan
2021-12-21 11:12:42 +08:00
@ruanimal
@cmdOptionKana
@kernelpanic 因为我看复现的步骤很简单,所以简单的推断 如果有做 jndi 方面的测试,即使是不针对 log4j2 的测试 log4j2 的这个漏洞应该会顺带被测试出来吧? 所以才疑惑是不是业界都没有做 jndi 方面的攻击测试
yolee599
2021-12-21 13:04:53 +08:00
如果这都要做测试,那测试的内容可就多了去了
markgor
2021-12-21 13:06:47 +08:00
@fangcan #5 发现了的人未必会公开,可以售卖。也可以自行利用。
常规的安全测试针对的是已发生过的问题,不会对未发生过的进行测试或有案例。
review 时候一般遇到古老的库都只是会查下是否有通报,而不会重新进行检查。

一般来说,针对这种漏洞,除非专门找白帽子做人工渗入,但老实说如果我这个漏洞可以卖 10W 美元,或产生 10W 美元以上的利益,我还会为了你那几万块的奖励提交出去吗...

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/823468

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX